Шифрование дисков windows server 2019
The Enable-BitLocker cmdlet enables BitLocker Drive Encryption for a volume.
When you enable encryption, you must specify a volume and an encryption method for that volume. You can specify a volume by drive letter or by specifying a BitLocker volume object. For the encryption method, you can choose either Advanced Encryption Standard (AES) algorithms AES-128 or AES-256, or you can use hardware encryption if it is supported by the disk hardware.
You must also establish a key protector. BitLocker uses a key protector to encrypt the volume encryption key. When a user accesses a BitLocker encrypted drive, such as when starting a computer, BitLocker requests the relevant key protector. For example, the user can enter a PIN or provide a USB drive that contains a key. BitLocker decrypts the encryption key and uses it to read data from the drive. You can use one of the following methods or combinations of methods for a key protector:
Trusted Platform Module (TPM). BitLocker uses the computer's TPM to protect the encryption key. If you select this key protector, users can access the encrypted drive as long as it is connected to the system board that hosts the TPM and system boot integrity is intact. In general, TPM-based protectors can only be associated to an operating system volume.
TPM and Personal Identification Number (PIN). BitLocker uses a combination of the TPM and a user-supplied PIN. A PIN is four to twenty digits or, if you allow enhanced PINs, is four to twenty letters, symbols, spaces, or numbers.
TPM, PIN, and startup key. BitLocker uses a combination of the TPM, a user-supplied PIN, and input from of a USB memory device that contains an external key.
TPM and startup key. BitLocker uses a combination of the TPM and input from of a USB memory device.
Startup key. BitLocker uses input from of a USB memory device that contains the external key.
Password. BitLocker uses a password.
Recovery key. BitLocker uses a recovery key stored as a specified file.
Recovery password. BitLocker uses a recovery password.
Active Directory Domain Services (AD DS) account. BitLocker uses domain authentication.
You can specify only one of these methods or combinations when you enable encryption, but you can use the Add-BitLockerKeyProtector cmdlet to add other protectors.
For a password or PIN key protector, specify a secure string. You can use the ConvertTo-SecureString cmdlet to create a secure string. You can use secure strings in a script and still maintain confidentiality of passwords.
If you use startup key or recovery key as part of your key protector, provide a path to store the key. This cmdlet stores the name of the file that contains the key in the KeyFileName field of the KeyProtector field in the BitLocker volume object.
If you use the Enable-BitLocker cmdlet on an encrypted volume or on a volume that with encryption in process, it takes no action. If you use the cmdlet on a drive that has encryption paused, it resumes encryption on the volume.
By default, this cmdlet encrypts the entire drive. If you use the UsedSpaceOnly parameter, it only encrypts the used space in the disk. This option can significant reduce encryption time.
It is common practice to add a recovery password to an operating system volume by using the Add-BitLockerKeyProtector cmdlet, and then save the recovery password by using the Backup-BitLockerKeyProtector cmdlet, and then enable BitLocker for the drive. This procedure ensures that you have a recovery option.
For an overview of BitLocker, see BitLocker Drive Encryption Overview on TechNet.
Новые события
добавлено несколько новых событий, которые находятся в канале событий Microsoft-Windows-фаиловерклустеринг/эксплуатация.
При успешном создании предохранителя ключа или файла предохранителя ключа показанное событие будет выглядеть примерно так:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Если при создании предохранителя ключа или предохранителя ключа произошла ошибка, показанное событие будет выглядеть примерно так:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Как упоминалось ранее, так как база данных кластера является реплицируемым хранилищем, которое поддерживается системным томом на каждом узле кластера, рекомендуется, чтобы системный том на каждом узле кластера также был защищен BitLocker. Отказоустойчивая кластеризация не будет применять ее, так как некоторые решения могут не требовать или зашифровать системный том. Если системный диск не защищен BitLocker, отказоустойчивый кластер пометит это как событие во время разблокировки или сетевого процесса. Показанное событие будет выглядеть примерно так:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
Зашифрованный жесткий диск использует быстрое шифрование, которое обеспечивается шифрованием диска BitLocker для повышения безопасности и управления данными.
Путем передачи криптографических операций в оборудование функция "Зашифрованный жесткий диск" повышает производительность BitLocker и снижает потребление ресурсов ЦП и электроэнергии. Благодаря тому, что функция зашифрованных жестких дисков быстро шифрует данные, устройства организации могут расширять развертывания BitLocker с минимальным влиянием на производительность.
Зашифрованные жесткие диски — это новый класс жестких дисков, которые самостоятельно шифруются на уровне оборудования и позволяют полностью шифрование оборудования на диске. Вы можете установить Windows на зашифрованные жесткие диски без дополнительных изменений, начиная с Windows 8 и Windows Server 2012.
Зашифрованные жесткие диски обеспечивают:
- Повышение производительности: оборудование шифрования, интегрированное в контроллер диска, позволяет диску работать с полной скоростью данных без ухудшения производительности.
- Сильная безопасность, основанная на оборудовании: шифрование всегда "на", а ключи шифрования никогда не покидают жесткий диск. Проверка подлинности пользователей выполняется диском, прежде чем он снимет блокировку (независимо от операционной системы).
- Простота использования: шифрование является прозрачным для пользователя, и пользователю не нужно его включить. Зашифрованные жесткие диски легко стираются с помощью ключа шифрования на борту; нет необходимости повторно шифровать данные на диске.
- Более низкая стоимость владения: нет необходимости в новой инфраструктуре для управления ключами шифрования, так как BitLocker использует существующую инфраструктуру для хранения данных восстановления. Устройство работает более эффективно, поскольку процесс шифрования не требует ресурсов процессора.
Зашифрованные жесткие диски поддерживаются в операционной системе с помощью следующих механизмов:
- Идентификация. Операционная система может определить, что диск является типом зашифрованного жесткого диска
- Активация. Утилита управления дисками операционной системы может активировать, создавать и соеди-
- Конфигурация: операционная система может создавать и соеди-
- API: поддержка API для приложений для управления зашифрованными жесткими дисками независимо от шифрования дисков BitLocker (BDE)
- Поддержка BitLocker. Интеграция с помощью bitLocker панель управления обеспечивает бесшовную возможность работы с конечным пользователем BitLocker.
Self-Encrypting жесткие диски и зашифрованные жесткие диски для Windows не являются одним и тем же типом устройства. Зашифрованные жесткие диски для Windows требуют соответствия определенным протоколам TCG, а также соответствия требованиям IEEE 1667; Self-Encrypting жесткие диски не имеют этих требований. Важно подтвердить, что тип устройства является зашифрованным жестким диском для Windows при планировании развертывания.
Если вы поставщик устройств хранения, который ищет дополнительные сведения о том, как реализовать зашифрованный жесткий диск, см. в руководстве по зашифрованным устройствам жесткого диска.
Установка шифрования BitLocker
BitLocker — это функция, которую необходимо добавить на все узлы кластера.
Добавление BitLocker с помощью PowerShell
Для каждого сервера используйте следующую команду:
Чтобы выполнить команду на всех серверах кластера одновременно, используйте следующий скрипт, изменив список переменных в начале в соответствии с вашей средой:
Заполните эти переменные своими значениями.
Этот компонент запускает командлет Install-WindowsFeature на всех серверах в $ServerList, передавая список компонентов в $FeatureList.
Затем перезапустите все серверы:
В одно и то же время можно добавлять несколько ролей и компонентов. Например, чтобы добавить BitLocker, отказоустойчивую кластеризацию и роль файлового сервера, $FeatureList будет включать все необходимое, разделенные запятыми. Пример:
Зашифрованная архитектура жесткого диска
Зашифрованные жесткие диски используют два ключа шифрования на устройстве для управления блокировкой и разблокировки данных на диске. Это ключ шифрования данных (DEK) и ключ проверки подлинности (AK).
Ключ шифрования данных — это ключ, используемый для шифрования всех данных на диске. Диск создает deK и никогда не покидает устройство. Он хранится в зашифрованном формате в случайном расположении на диске. Если deK изменен или стерт, данные, зашифрованные с помощью DEK, невозвратны.
Ключ проверки подлинности — это ключ, используемый для разблокировки данных на диске. Хаш ключа хранится на диске и требует подтверждения для расшифровки DEK.
Когда компьютер с зашифрованным жестким диском находится в отключенном состоянии, диск блокируется автоматически. Как компьютер работает, устройство остается в заблокированном состоянии и разблокировано только после расшифровки ключа проверки подлинности ключ шифрования данных. После расшифровки ключа проверки подлинности ключ шифрования данных на устройстве могут происходить операции с чтением.
При записи данных на диск он передается через механизм шифрования до завершения операции записи. Кроме того, для считывания данных с диска требуется, чтобы механизм шифрования расшифровыл данные перед передачей этих данных пользователю. В случае необходимости изменения или стирки deK данные на диске не должны повторно шифроваться. Необходимо создать новый ключ проверки подлинности, который будет повторно шифровать DEK. После завершения, DEK теперь можно разблокировать с помощью нового АК и читать-записи в том можно продолжить.
Настройка зашифрованных жестких дисков в качестве дисков запуска
Конфигурация зашифрованных жестких дисков в качестве дисков запуска делается с помощью тех же методов, что и стандартные жесткие диски. Эти методы включают в себя:
- Развертывание из мультимедиа. Настройка зашифрованных жестких дисков происходит автоматически в процессе установки.
- Развертывание из сети. Этот метод развертывания включает загрузку среды Windows pe и использование средств визуализации для применения Windows изображения из сетевой доли. С помощью этого метода дополнительный служба хранилища дополнительный компонент должен быть включен в Windows PE. Этот компонент можно включить с помощью диспетчер сервера, Windows PowerShell или средства командной строки DISM. Если этого компонента нет, конфигурация зашифрованных жестких дисков не будет работать.
- Развертывание с сервера. Этот метод развертывания включает загрузку PXE клиента с зашифрованными жесткими дисками. Конфигурация зашифрованных жестких дисков происходит автоматически в этой среде, когда компонент Enhanced служба хранилища добавляется в загрузочный образ PXE. Во время развертывания параметр TCGSecurityActivationDisabled в unattend.xml управляет поведением шифрования зашифрованных жестких дисков.
- Дублирование диска. Этот метод развертывания включает использование ранее настроенных средств дублирования устройств и дисков для применения Windows к зашифрованному жесткому диску. Диски должны быть разделяться с Windows 8 или Windows Server 2012 для работы этой конфигурации. Изображения, сделанные с помощью дубликатов дисков, не будут работать.
Example 1: Enable BitLocker
This example enables BitLocker for a specified drive using the TPM and a PIN for key protector.
The first command uses the ConvertTo-SecureString cmdlet to create a secure string that contains a PIN and saves that string in the $SecureString variable. For more information about the ConvertTo-SecureString cmdlet, type Get-Help ConvertTo-SecureString .
The second command enables BitLocker encryption for the BitLocker volume that has the drive letter C:. The cmdlet specifies an encryption algorithm and the PIN saved in the $SecureString variable. The command also specifies that this volume uses a combination of the TPM and the PIN as key protector. The command also specifies to encrypt the used space data on the disk, instead of the entire volume. When the system writes data to the volume in the future, that data is encrypted.
Технический обзор
Быстрое шифрование в BitLocker непосредственно решает потребности предприятий в области безопасности, предлагая при этом значительно улучшенную производительность. В версиях Windows более ранних Windows Server 2012, BitLocker требовал двухшагового процесса для выполнения запросов на чтение и написание. В Windows Server 2012, Windows 8 или позже зашифрованные жесткие диски разгружают криптографические операции с контроллером диска для повышения эффективности. Когда операционная система определяет зашифрованный жесткий диск, он активирует режим безопасности. Эта активация позволяет контроллеру диска создавать клавишу мультимедиа для каждого тома, который создает хост-компьютер. Этот ключ мультимедиа, который никогда не подвергается воздействию за пределами диска, используется для быстрого шифрования или расшифровки всех byte данных, отосланных или полученных с диска.
Требования к системе
Для использования зашифрованных жестких дисков применяются следующие требования к системе:
Для зашифрованного жесткого диска, используемой в качестве диска данных:
- Диск должен быть в неинициализированном состоянии.
- Диск должен быть в неактивном состоянии безопасности.
Для зашифрованного жесткого диска, используемой в качестве диска запуска:
- Диск должен быть в неинициализированном состоянии.
- Диск должен быть в неактивном состоянии безопасности.
- Компьютер должен быть на основе UEFI 2.3.1 и иметь определение EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется для того, чтобы разрешить программам, работающим в среде служб загрузки EFI, отправлять команды протокола безопасности на диск).
- На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
- Компьютер всегда должен загрузиться из UEFI.
Для правильной работы все зашифрованные жесткие диски должны быть присоединены к контроллерам без RAID.
Новые функции
в предыдущих версиях Windows Server и Azure Stack хЦи единственным поддерживаемым средством защиты шифрования является средство защиты на основе идентификатора безопасности, где используемая учетная запись является объектом имени кластера (CNO), созданной в Active Directory в рамках создания отказоустойчивой кластеризации. Это безопасный проект, так как средство защиты хранится в Active Directory и защищено паролем CNO. Кроме того, это упрощает подготовку и разблокировку томов, так как каждый узел отказоустойчивого кластера имеет доступ к учетной записи CNO.
Недостаток состоит в трех разделах:
Очевидно, что этот метод не работает при создании отказоустойчивого кластера без доступа к контроллеру Active Directory в центре обработки данных.
Разблокировка тома в рамках отработки отказа может занять слишком много времени (и, возможно, истекает время ожидания), если контроллер Active Directory не отвечает или работает медленно.
Если контроллер Active Directory недоступен, оперативный процесс диска завершится ошибкой.
How to Install BitLocker on Windows Server 2019/2016
The first thing you have to do is open the Server Manager. Once there, click on add roles and features.
Please add roles and features
Then select Role-based and features-based installation:
Please select the type of installation
As usual in this type of installation, select the server.
Select the server for the installation.
Please skip the window referring to Roles. Then, in the Features window, scroll down to get BitLocker Drive Encryption
Select BitLocker Drive Encryption
When you click on the corresponding box, a window with the necessary features for the installation will be displayed.
Back to the previous window, press next to continue the installation.
Pres Next to continue the installation
Below you will see a summary of the installation. Please press Install.
After a few moments, the installation will be completed. Please note that you must reboot the server to complete the process.
Finally, in this simple way we have seen how to enable BitLocker in Windows Server 2019/2016. In addition, it is our intention to increase the security of your server. All right, that’s it for today. I can’t say goodbye without inviting you to see our post about importing and exporting the security policy in Windows Server 2019/2016. Goodbye
BitLocker Drive Encryption is a data protection feature that integrates with the operating system and addresses the threats of data theft or exposure from lost, stolen, or inappropriately decommissioned computers.
BitLocker provides the most protection when used with a Trusted Platform Module (TPM) version 1.2 or later. The TPM is a hardware component installed in many newer computers by computer manufacturers. It works with BitLocker to help protect user data and to ensure that a computer has not been tampered with while the system was offline.
Installing BitLocker
This blog post shows how to install BitLocker on Windows Server 2019. For all Windows Server editions, BitLocker can be installed using Server Manager or Windows PowerShell cmdlets. BitLocker requires administrator privileges on the server to install.
This same step applies to Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
To install BitLocker using Server Manager
Open Server Manager by selecting the Server Manager icon or running servermanager.exe .
Select Manage from the Server Manager Navigation bar and select Add Roles and Features to start the Add Roles and Features Wizard.
With the Add Roles and Features Wizard open, select Next at the Before you begin pane (if shown).
Select Role-based or feature-based installation on the Installation type pane of the Add Roles and Features Wizard pane and select Next to continue.
Select the Select a server from the server pool option in the Server Selection pane and confirm the server for the BitLocker feature install.
Server roles and features install using the same wizard in Server Manager. Select Next on the Server Roles pane of the Add Roles and Features wizard to proceed to the Features pane.
Select the check box next to BitLocker Drive Encryption within the Features pane of the Add Roles and Features Wizard. The wizard will show the additional management features available for BitLocker. If you do not want to install these features, deselect the Include management tools option and select Add Features. Once optional features selection is complete, select Next to proceed in the wizard.
Note: The Enhanced Storage feature is a required feature for enabling BitLocker. This feature enables support for Encrypted Hard Drives on capable systems.
Select Install on the Confirmation pane of the Add Roles and Features Wizard to begin BitLocker feature installation. The BitLocker feature requires a restart to complete. Selecting the Restart the destination server automatically if required option in the Confirmation pane will force a restart of the computer after installation is complete.
Resume-ClusterPhysicalDiskResource
Пример 1
Пример 2
Добавление BitLocker с помощью диспетчер сервера
Откройте Диспетчер сервера , щелкнув значок Диспетчер сервера или запустив servermanager.exe.
Выберите Управление на панели навигации Диспетчер сервера и щелкните Добавить роли и компоненты , чтобы запустить Мастер добавления ролей и компонентов.
После открытия мастера добавления ролей и компонентов нажмите кнопку Далее в области перед началом работы (если она показана).
Выберите Установка на основе ролей или компонентов на панели тип установки в области Мастер добавления ролей и компонентов и нажмите кнопку Далее , чтобы продолжить.
Выберите параметр выбрать сервер в пуле серверов на панели Выбор сервера и подтвердите, что на сервере установлена функция BitLocker.
Установите флажок рядом с Шифрование диска BitLocker в области компоненты мастера добавления ролей и компонентов . Мастер покажет дополнительные функции управления, доступные для BitLocker. Если вы не хотите устанавливать эти компоненты, отмените выбор параметра включить средства управления и выберите Добавить компоненты. После завершения выбора дополнительных компонентов нажмите кнопку Далее , чтобы продолжить.
усовершенствованная функция служба хранилища — это обязательная функция для включения BitLocker. Эта функция обеспечивает поддержку зашифрованных жестких дисков в системах с поддержкой.
Выберите установить на панели Подтверждениемастера добавления ролей и компонентов , чтобы начать установку компонентов BitLocker. Для завершения функции BitLocker требуется перезагрузка. При установке флажка автоматически перезагружать сервер назначения в случае необходимости на панели подтверждения будет выполнена принудительная перезагрузка компьютера после завершения установки.
BitLocker. The Windows Encryption Technology.
BitLocker makes use of the Reliable Platform Module technology which allows for greater security in case of an external attack. It is used to validate the booting of the server. In addition, it guarantees that the hard disk is in optimal security and operation conditions. BitLocker uses 5 operational modes in its operation:
- TPM + PIN + Password: The system encrypts the information with TPM. Additionally, the administrator must enter his or her PIN and password to gain access.
- TPM+Password: The system encrypts the information with TPM and the administrator must provide a password.
- TPM + PIN: The system encrypts the information with TPM and the administrator must provide his access ID.
- Password: The administrator must provide the password to access management.
- TPM: No action is required from the administrator.
Examples
Подготавливает зашифрованный том
Подготовка диска с шифрованием BitLocker может быть выполнена, если затем диск входит в состав отказоустойчивого кластера или выходит за пределы диапазона перед добавлением. Чтобы автоматически создать предохранитель внешнего ключа, диск должен быть ресурсом в отказоустойчивом кластере перед включением BitLocker. Если BitLocker включен перед добавлением диска в отказоустойчивый кластер, необходимо выполнить дополнительные действия по созданию предохранителя внешнего ключа.
Для подготовки зашифрованных томов необходимо, чтобы команды PowerShell выполнялись с правами администратора. Существует два варианта шифрования дисков и возможность создания и использования собственных ключей BitLocker в отказоустойчивой кластеризации.
Внутренний ключ восстановления
Файл внешнего ключа восстановления
Example 2: Enable BitLocker with a recovery key
This command gets all the BitLocker volumes for the current computer and passes pipes them to the Enable-BitLocker cmdlet by using the pipe operator. This cmdlet specifies an encryption algorithm for the volume or volumes. This cmdlet specifies a path to a folder where the randomly generated recovery key will be stored and indicates that these volumes use a recovery key as a key protector.
Example 3: Enable BitLocker with a specified user account
This command encrypts the BitLocker volume specified by the MountPoint parameter, and uses the AES 128 encryption method. The command also specifies an account and specifies that BitLocker uses user credentials as a key protector. When a user accesses this volume, BitLocker prompts for credentials for the user account Western\SarahJones.
Новые командлеты PowerShell
С помощью этой новой функции были созданы два новых командлета для перевода ресурса в оперативный режим или возобновление ресурса вручную с помощью ключа восстановления или файла ключа восстановления.
Перенастройка зашифрованных жестких дисков
Многие зашифрованные устройства жесткого диска предварительно настроены для использования. Если требуется перенастройка диска, используйте следующую процедуру после удаления всех доступных томов и возвращания диска в единое состояние:
The confidentiality and protection of the user’s data is fundamental in any system. In addition, this section is very important when working with Windows Server. Since the fall of sensitive files into the wrong hands can cause serious damage. For this reason, it is highly recommended encrypting the data present on the hard disk. Fortunately, Windows Server has its own data encryption infrastructure. This technology is called BitLocker, BDE-BitLocker Drive Encryption. Consequently, it is possible to encrypt entire volumes. This way, if you lose access to the device, the data will remain encrypted. For this reason, today we will see how to enable BitLocker in Windows Server 2019/2016.
Использование BitLocker с общими томами кластера
Управление BitLocker на томах в кластере осуществляется в зависимости от того, как служба кластеров "отображает" защищаемый том. Это может быть физический дисковый ресурс, такой как логический номер устройства (LUN) в сети хранения данных (SAN) или хранилище, подключенное к сети (NAS).
Кроме того, том может быть общий том кластера (CSV) в кластере. При использовании BitLocker с томами, назначенными для кластера, том можно включить с помощью BitLocker перед его добавлением в кластер или в кластер. Перед включением BitLocker Переведите ресурс в режим обслуживания.
Windows PowerShell или интерфейс командной строки manage-BDE является предпочтительным методом управления BitLocker на томах CSV. Этот метод рекомендуется для элемента панели управления BitLocker, так как тома CSV являются точками подключения. Точки подключения — это объект NTFS, который используется для предоставления точки входа другим томам. Точкам подключения не требуется использовать букву диска. Тома, у которых нет букв диска, не отображаются в элементе панели управления BitLocker.
BitLocker разблокирует защищенные тома без вмешательства пользователя, предоставляя попытки защиты в следующем порядке:
Ключ автоматического разблокировки на основе драйверов
Средство защиты адаккаунторграуп
Предохранитель контекста службы
Ключ автоматического разблокировки на основе реестра
Для отказоустойчивого кластера требуется параметр предохранителя на основе Active Directory для дискового ресурса кластера. В противном случае ресурсы CSV недоступны в элементе панели управления.
Средство защиты домен Active Directory Services (AD DS) для защиты кластеризованных томов, хранящихся в инфраструктуре AD DS. Предохранитель адаккаунторграуп — это предохранитель на основе идентификатора безопасности (SID), который можно привязать к учетной записи пользователя, учетной записи компьютера или группе. При запросе на снятие блокировки для защищенного тома служба BitLocker прерывает запрос и использует интерфейсы API защиты и снятия защиты BitLocker для разблокировки или отклонения запроса.
Настройка шифрования на основе оборудования с помощью групповая политика
Существует три связанных групповая политика, которые помогают управлять тем, как BitLocker использует аппаратное шифрование и какие алгоритмы шифрования использовать. Если эти параметры не настроены или отключены в системах, оснащенных зашифрованными дисками, BitLocker использует шифрование на основе программного обеспечения:
Parameters
Specifies an account using the format Domain\User. This cmdlet adds the account you specify as a key protector for the volume encryption key.
Type: | String |
Aliases: | sid |
Position: | 1 |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses an AD DS account as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | sidp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Prompts you for confirmation before running the cmdlet.
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that the volume uses hardware encryption.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Specifies an array of drive letters or BitLocker volume objects. This cmdlet enables protection for the volumes specified. To obtain a BitLocker volume object, use the Get-BitLockerVolume cmdlet.
Type: | String [ ] |
Position: | 0 |
Default value: | None |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Specifies a secure string object that contains a password. The password specified acts as a protector for the volume encryption key.
Type: | SecureString |
Aliases: | pw |
Position: | 1 |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses a password as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | pwp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Specifies a secure string object that contains a PIN. BitLocker uses the PIN specified, with other data, as a protector for the volume encryption key.
Type: | SecureString |
Aliases: | p |
Position: | 1 |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Specifies a path to a folder. This cmdlet adds a randomly generated recovery key as a protector for the volume encryption key and stores it in the specified path.
Type: | String |
Aliases: | rk |
Position: | 1 |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses a recovery key as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | rkp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Type: | String |
Aliases: | rp |
Position: | 1 |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses a recovery password as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | rpp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that the system account for this computer unlocks the encrypted volume.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker does not perform a hardware test before it begins encryption. BitLocker uses a hardware test as a dry run to make sure that all the key protectors are correctly set up and that the computer can start without issues.
Type: | SwitchParameter |
Aliases: | s |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Specifies a path to a startup key. The key stored in the specified path acts as a protector for the volume encryption key.
Type: | String |
Aliases: | sk |
Position: | 1 |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses a startup key as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | skp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses a combination of the TPM, a PIN, and a startup key as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | tpskp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses a combination of the TPM and a PIN as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | tpp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses a combination of the TPM and a startup key as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | tskp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker uses the TPM as a protector for the volume encryption key.
Type: | SwitchParameter |
Aliases: | tpmp |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Indicates that BitLocker does not encrypt disk space which contains unused data.
Шифрование диска BitLocker — это функция защиты данных, которая интегрируется с операционной системой и устраняет угрозы кражи или разглашения данных от потерянных, украденных или ненадлежащим образом списанных компьютеров.
Шифрование BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше. Доверенный платформенный модуль — это компонент оборудования, устанавливаемый на многих современных компьютерах производителями компьютеров. Он работает с BitLocker для защиты данных пользователей и обеспечения того, что компьютер не был изменен, когда система была отключена.
на компьютерах, у которых нет доверенного платформенного модуля (TPM) версии 1,2 или более поздней, вы по-прежнему можете использовать BitLocker для шифрования диска операционной системы Windows. Однако при этом пользователь должен вставить USB-ключ запуска для запуска компьютера или выхода из режима гибернации. начиная с Windows 8 можно использовать пароль тома операционной системы для защиты тома на компьютере без доверенного платформенного модуля. Ни один из вариантов не предоставляет проверку целостности системы перед запуском, предлагаемую BitLocker с доверенным платформенным модулем.
В дополнение к доверенному платформенному модулю BitLocker позволяет заблокировать нормальный процесс запуска до тех пор, пока пользователь не предоставит личный идентификационный номер (ПИН-код) или не вставит съемное устройство. Это может быть флэш-накопитель USB, который содержит ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что компьютер не запускается или не возобновляет работу в режиме гибернации до тех пор, пока не будет указан правильный ПИН-код или ключ запуска.
Start-ClusterPhysicalDiskResource
Пример 1
Пример 2
Шифрование с помощью ключа восстановления
Шифрование дисков с помощью ключа восстановления позволит создать ключ восстановления BitLocker и добавить его в базу данных кластера. Так как диск переходит в режим «в сети», ему нужно только обратиться к кусту локального кластера для ключа восстановления.
Переместите дисковый ресурс на узел, где будет включено шифрование BitLocker:
Переведите дисковый ресурс в режим обслуживания:
Чтобы продолжить, нажмите кнопку "Да".
Чтобы включить шифрование BitLocker, выполните:
После ввода команды отобразится предупреждение, содержащее цифровой пароль восстановления. Сохраните пароль в безопасном месте, так как он понадобится и на следующем шаге. Предупреждение будет выглядеть примерно так:
Чтобы получить сведения о предохранители BitLocker для тома, можно выполнить следующую команду:
Отобразится идентификатор предохранителя ключа и строка пароля восстановления.
Идентификатор предохранителя ключа и пароль восстановления потребуются и сохраняются в новом свойстве физического диска Private с именем битлоккерпротекторинфо. Это новое свойство будет использоваться, когда ресурс выходит из режима обслуживания. В качестве средства защиты используется строка, в которой идентификатор предохранителя и пароль разделяются символом ":".
Чтобы убедиться, что ключ и значение битлоккерпротекторинфо заданы, выполните команду:
Теперь, когда данные представлены, диск можно вывести из режима обслуживания после завершения процесса шифрования.
Если ресурс перестанет работать в сети, это может быть проблемой с хранилищем, неверным паролем восстановления или какой-либо проблемой. Убедитесь, что ключ битлоккерпротекторинфо содержит правильные сведения. Если это не так, следует выполнить ранее заданные команды. Если проблема не связана с этим ключом, мы рекомендуем получить соответствующую группу в организации или поставщик хранилища, чтобы устранить проблему.
Если ресурс переходит в режим «в сети», сведения верны. В процессе выхода из режима обслуживания ключ битлоккерпротекторинфо удаляется и шифруется в ресурсе в базе данных кластера.
Общие сведения о общих томах кластера
общие тома кластера (CSV) позволяют нескольким узлам в отказоустойчивом кластере Windows Server или Azure Stack хЦи одновременно иметь доступ на чтение и запись к одному и тому же логическому номеру устройства (LUN) или диску, который подготавливается как том NTFS. Диск можно подготовить как отказоустойчивую файловую систему (ReFS). Однако диск CSV будет находиться в перенаправленном режиме, что означает, что доступ на запись будет отправлен на узел координатора. При использовании CSV кластерные роли могут быстро отключаться от одного узла к другому, не требуя изменения владельца диска или отключения и повторного подключения тома. Тома CSV также помогают упростить управление большим числом LUN в отказоустойчивом кластере.
CSV — это кластерная файловая система общего назначения, которая размещается на уровне выше NTFS или ReFS. Тома CSV применяются в следующих целях:
- Кластеризованные виртуальные жесткие диски (VHD/VHDX) для кластеризованных виртуальных машин Hyper-V
- Масштабируемые файловые ресурсы для хранения данных приложения для кластерной роли Scale-Out файлового сервера. К примерам данных приложений для этой роли относятся файлы виртуальных машин Hyper-V и данные Microsoft SQL Server. ReFS не поддерживается для Scale-Out файлового сервера в Windows Server 2012 R2 и ниже. Дополнительные сведения о Scale-Out файлового сервера см. в разделе Масштабируемый файловый сервер для данных приложений.
- Microsoft SQL Server 2014 (или более поздней версии) экземпляр отказоустойчивого кластера (FCI) Microsoft SQL Server кластеризованной рабочей нагрузки в SQL Server 2012 и более ранних версиях SQL Server не поддерживают использование CSV-файлов.
- Windows Server 2019 или более поздней версии (MSDTC)
Шифрование с помощью файла внешнего ключа восстановления
Шифрование дисков с помощью файла ключа восстановления позволит создать ключ восстановления BitLocker и получить к нему доступ из расположения, доступного для всех узлов, например файлового сервера. Когда диск переходит в режим «в сети», узел-владелец подключается к ключу восстановления.
Переместите дисковый ресурс на узел, где будет включено шифрование BitLocker:
Переведите дисковый ресурс в режим обслуживания:
Откроется диалоговое окно
Чтобы продолжить, нажмите кнопку "Да".
Чтобы включить шифрование BitLocker и создать файл предохранителя ключей на локальном компьютере, выполните следующую команду. Рекомендуется сначала создать файл, а затем переместить его в расположение, доступное всем узлам.
Чтобы получить сведения о предохранители BitLocker для тома, можно выполнить следующую команду:
При этом отобразится идентификатор предохранителя ключа и имя создаваемого файла ключа.
При переходе к папке, которая была создана в, она не будет отображаться на первый взгляд. Причина в том, что она будет создана как скрытый файл. Пример:
Так как он создается по локальному пути, он должен быть скопирован в сетевой путь, чтобы все узлы имели к нему доступ с помощью команды копирования элементов .
Так как диск будет использоваться в качестве файла и находится в общей сетевой папке, переведите диск в режим обслуживания, указав путь к файлу. После завершения шифрования диска команда для возобновления будет выглядеть следующим образом:
После подготовки диска *. Файл BEK можно удалить из общего ресурса и больше не нужен.
Читайте также: