Можно ли использовать битлокер в гостевой ОС HyperV Windows VM?
Мы изучаем возможность использования BitLocker внутри гостевой ОС виртуальной машины (т.е. не родительской ОС на хосте виртуальной машины). У нас есть как Win2008R2 VM, так и Win2012(не R2) VM.
И мы нашли эту ссылку: https://books.google.com.hk/books?id=Y0TfBgAAQBAJ&pg=PA112&lpg=PA112&dq=Using+Microsoft+BitLocker+In+a+hyper+v+guest&source=bl&ots=gxPNsAlgkGQQGGQQG1 zh-TW & sa = X & ved = 0ahUKEwjZvL_N8ZzPAhWFl5QKHfJPCyc4FBDoAQhFMAU # v = onepage & q = guest & f = false"Шифрование BitLocker может применяться к хостам Hyper-V для обеспечения защиты данных. Шифрование гостевой системы Hyper-V не поддерживается. (на первых страницах книги сказано, что он основан на Win2012R2)
Означает ли это, что BitLocker не следует использовать внутри гостевой ОС Hyper-V?
Но мы также нашли FAQ по BitLocker: https://technet.microsoft.com/en-us/library/hh831507.aspx"Поддерживает ли BitLocker виртуальные жесткие диски (VHD)? BitLocker не поддерживается на загрузочных виртуальных жестких дисках, но BitLocker поддерживается на виртуальных жестких дисках тома данных, например, используемых кластерами, если вы работаете в Windows 8, Windows 8.1, Windows Server 2012 или Windows Server 2012 R2."
Речь идет о VHD, что, как мы предполагаем, означает использование BitLocker внутри гостевой ОС?
Любой совет?
2 ответа
Означает ли это, что BitLocker не следует использовать внутри гостевой ОС Hyper-V?
Да, вот что это значит.
Его не следует использовать, поскольку он не поддерживается в версиях Windows до Windows Server 2016. Он не поддерживается, поскольку Microsoft не хочет, чтобы клиенты делали что-то, что не обеспечивало бы никакой реальной защиты. Гость не может быть настроен на автоматический запуск, если ключ запуска не хранится в разделе восстановления или на съемном носителе. Более точное имя ключа запуска - "Ключ запуска и восстановления", поскольку оно позволяет любому, имеющему доступ к разделу восстановления, если ключи хранятся там, дешифровать диск. И вы, вероятно, не хотите вводить ключ восстановления при каждом запуске вашего гостя.
Кроме того, "присоединение виртуальной дискеты" ничего не дает. Если ключи хранятся на устройстве в незашифрованном разделе, подключенном к хосту, данные не защищены.
Windows Server 2016 представляет Virtual TPM, который обеспечивает безопасное шифрование гостевых разделов с автоматическим запуском. Вы можете прочитать больше об этом здесь:
https://blogs.technet.microsoft.com/hybridcloudbp/2016/11/07/shielded-vms-in-windows-server-2016/
"Шифрование BitLocker Virtual Disk с использованием vTPM. Не нужно предоставлять код разблокировки после перезагрузки - используйте шифрование гостевого диска везде без каких-либо административных издержек. Ключи шифрования надежно запечатаны внутри виртуального устройства TPM, которое перемещается, когда виртуальная машина перемещается на другой хост".
Когда я имел дело с шифрованием виртуальных машин в прошлом, я обычно находил, что легко использовать встроенную функцию Bitlocker, предоставляемую Windows. Я никогда не сталкивался с такими проблемами, и даже можно избежать необходимости вводить ключ шифрования при загрузке, если вы сконфигурируете виртуальную дискету и сохраните ключ для этого. Чтобы скопировать ключ, выполните следующее (при условии, что A: это дисковод гибких дисков):
manage-bde.wsf -on C: -rp -sk A:
Как только это будет сделано, вы можете просто оставить дискету подключенной к виртуальной машине. Обратите внимание, что вам понадобится резервная копия ключа на случай, если что-нибудь случится с виртуальной дискетой.