Virtuaalikoneiden kiintolevyjen salaus

Virtuaalikoneiden kiintolevyjen salaus

Kuten lähes kaikki palvelinylläpitäjät tietävät, virtuaalikoneen levykuva (.VHD tai .VHDX) on hyvin helppo avata Windows 7/2008 R2 tai uudemmilla käyttöjärjestelmäversioilla, jolloin levykuvan sisältö tulee näkyviin uudeksi levyasemaksi, jonka sisältä voidaan kopioida mitä tahansa tietoa. Virtuaalikoneen levykuva saattaa sisältää sensitiivistä dataa, joten riski tämän tiedon väärinkäyttöön on olemassa.

Viime syksynä julkistetussa Windows Server 2016 -versiossa, Hyper-V-rooli pitää sisällään ’Shielded VM’ -toiminnallisuuden, joka mahdollistaa virtuaalikoneen levykuvien salauksen, sekä konsoli-istunnon estämisen. Tämän lisäksi isompiin ympäristöihin voidaan pystyttää Host Guardian Service -klusteri, jonka avulla voidaan valvoa, että virtuaalikoneiden käyttö sallitaan vain halutuilla Hyper-V-palvelimilla.

Edellä mainitut toiminnallisuudet vaativat, että virtuaalikoneet ovat ns. Generation 2 -tasoisia virtuaalikoneita, jolloin niiden sisällä oleva käyttöjärjestelmä on oltava Windows 8/Windows Server 2012 tai uudempi.

Kuitenkin edelleen käytössä on paljon Windows 2008 tai uudempia Generation 1 -virtuaalikoneita; onko näihin mahdollisuus saada samanlaista suojausta?

Kyllä, virtuaalilevykuvien salaus onnistuu nyt Windows Server 2016 Hyper-V-versiossa myös näiden vanhojen, Generation 1, virtuaalipalvelimien kanssa.

Ensinnäkin, Generation 1 -virtuaalikone tulee siirtää Windows Server 2016 Hyper-V-hostille ja päivittää sen konfiguraatio 8.0 tasolle, joko Hyper-V-Managerin kautta tai PowerShell-komennolla Update-VMVersion <vmname>. Tämän jälkeen Hyper-V-Managerin kautta virtuaalikoneen ominaisuudet kohdassa Security on ilmoitus Key Storage Drive disabled ja namiska Add Key Storage Drive.

KSD-HyperV

Klikkaamalla tätä lisätään virtuaalikoneeseen uusi levy, joka ei oikeasti ole mikään levykuvatiedosto, vaan se mallintaa Bitlocker USB-muistia. Jos tätä levyä tarkastellaan virtuaalikoneen sisältä, se näkyy 42MB kokoisena levynä, johon tallennetaan Bitlocker Startup Key .BKE tiedostoon.

Levy tulee ottaa käyttöön virtuaalikoneessa joko Disk Management -hallintakonsolin tai Diskpart-komentorivityökalun avulla, esimerkiksi seuraavilla loitsuilla:

C:\>diskpart

DISKPART> list disk

DISKPART> select disk 1

DISKPART> create partition primary

DISKPART> format fs=ntfs label=KSD

DISKPART> assign letter=K

DISKPART> exit

 

Tämän jälkeen muokataan joko Local Policya tai Group Policya, seuraavasta haarasta:

Computer Configuration->Administrative Templates->Windows Components->BitLocker Drive Encryption->Operating System Drives->Require additional authentication at startup->Enabled

KSD-policy

Lisäksi PowerShellin avulla lisätään virtualikoneeseen BitLocker-toiminnallisuus:

Add-WindowsFeature BitLocker -IncludeAllSubFeature -Restart -Verbose (Windows Server 2008)

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart -Verbose (Windows Server 2012->)

 

Ja otetaan Bitlocker-salaus käyttöön:

Manage-bde -on C: -StartupKey K:\ -UsedSpaceOnly -SkipHardwareTest (Windows Server 2008)

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath K: (Windows Server 2012->)

 

Jos virtuaalikoneessa on käytössä useampi levy, voidaan nekin salata samalla tavalla

Enable-BitLocker E: -StartupKeyProtector -StartupKeyPath K: –UsedSpaceOnly

 

Salausprosessi kestää jonkin aikaa ja sen etenemistä voi tarkastella esim. manage-bde-status-komennon avulla. Salauksen valmistuttua jokaisesta kryptatusta virtuaalikoneesta tulisi ottaa talteen BitLocker Recover Password myöhempää käyttöä varten.

KSD#4

 

Tule kuulemaan lisää Windows Server 2016 -ominaisuuksista aamiaisseminaariimme 7.4.2017 klo 9:00-11:30



Master of the Universe. Windows Server oriented Trainer and Technology Consultant - Microsoft MVP, MCT, MCSE, MCSA, MCITP, MCP, MS, ISI. Likes also #IOS devices.

Ei kommentteja.

Kommentoi