Мы изучаем возможность использования BitLocker внутри гостевой ОС виртуальной машины (то есть не в родительской ОС на узле виртуальной машины). У нас есть как ВМ Win2008R2, так и ВМ Win2012 (не R2).
И мы нашли эту ссылку: https://books.google.com.hk/books?id=Y0TfBgAAQBAJ&pg=PA112&lpg=PA112&dq=Using+Microsoft+BitLocker+In+a+hyper+v+guest&source=bl&ots=gxPNsAlgQn&sig=yvQGkqNkK1q2aOCVnlDZr7ltmTg&hl=zh-TW&sa=X&ved= 0ahUKEwjZvL_N8ZzPAhWFl5QKHfJPCyc4FBDoAQhFMAU # v = onepage & q = guest & f = false «Шифрование BitLocker может применяться к узлам Hyper-V для обеспечения защиты данных. Гостевое шифрование Hyper-V не поддерживается». (в книгах на первых нескольких страницах говорилось, что он основан на Win2012R2)
Означает ли это, что BitLocker не следует использовать в гостевой ОС Hyper-V?
Но мы также нашли FAQ по BitLocker: https://technet.microsoft.com/en-us/library/hh831507.aspx «Поддерживает ли BitLocker виртуальные жесткие диски (VHD)? BitLocker не поддерживается на загрузочных виртуальных жестких дисках, но BitLocker поддерживается на виртуальных жестких дисках томов данных, например, используемых в кластерах, если вы используете Windows 8, Windows 8.1, Windows Server 2012 или Windows. Server 2012 R2 ".
Речь идет о VHD, что, как мы предполагаем, означает использование BitLocker внутри гостевой ОС?
Любой совет?
Означает ли это, что BitLocker не следует использовать в гостевой ОС Hyper-V?
Да, это то, что это значит.
Его не следует использовать, потому что он не поддерживается в версиях Windows до Windows Server 2016. Он не поддерживается, потому что Microsoft не хочет, чтобы клиенты делали что-то, что не обеспечило бы реальной защиты. Гость не может быть настроен на автоматический запуск, если ключ запуска не хранится в разделе восстановления или на съемном носителе. Более точное название ключа запуска - «Ключ запуска и восстановления», потому что он позволяет любому, у кого есть доступ к разделу восстановления, если там хранятся ключи, расшифровать диск. И вы, вероятно, не захотите вводить ключ восстановления каждый раз при запуске вашего гостя.
Кроме того, «подключение виртуальной дискеты» ничего не дает. Если ключи хранятся на устройстве в незашифрованном разделе, подключенном к хосту, данные не защищены.
Windows Server 2016 представляет виртуальный TPM, который обеспечивает безопасное шифрование гостевых разделов с автоматическим запуском. Вы можете прочитать больше об этом здесь:
https://blogs.technet.microsoft.com/hybridcloudbp/2016/11/07/shielded-vms-in-windows-server-2016/
«Шифрование виртуального диска BitLocker с использованием vTPM. Нет необходимости предоставлять код разблокировки после перезагрузки - используйте шифрование гостевого диска везде, без каких-либо административных затрат. Ключи шифрования надежно запечатаны внутри виртуального TPM-устройства, которое перемещается, когда виртуальная машина перемещается на другой хост».
Когда я имел дело с шифрованием виртуальных машин в прошлом, мне было легко использовать встроенную функцию Bitlocker, предоставляемую Windows. Я никогда не сталкивался с какими-либо проблемами при этом, и можно даже избежать необходимости вводить ключ шифрования при загрузке, если вы настроите виртуальную дискету и сохраните на ней ключ. Чтобы скопировать ключ, выполните следующее (при условии, что A: дисковод гибких дисков):
manage-bde.wsf -on C: -rp -sk A:
Как только это будет сделано, вы можете просто оставить дискету подключенной к виртуальной машине. Обратите внимание, что вам нужно иметь резервную копию ключа на случай, если с виртуальной дискетой что-нибудь случится.