bitlocker logo

Настройка Bitlocker с TPM на Hyper-V 2012 R2

В данной статье мы рассмотрим настройку Bitlocker с поддержкой TPM-модуля в среде Hyper-V 2012 R2 Server Core.

Bitlocker – встроенная в Windows утилита, позволяющая защитить данные при помощи шифрования. Bitcloker использует алгоритм AES с ключом 128 бит, для большей безопасности данных длина ключа может быть увеличена до 256 бит. Хранение и целостность ключа шифрования, по умолчанию, обеспечивает модуль TPM. Данный модуль представляет собой чип, встроенный в материнскую плату компьютера, который при загрузке компьютера проверяет запускаемый код, подсчитывает значение хэша и сохраняет в специальных регистрах, называемых PCR (Platform configuration registers). Более подробно с работой TPM и Bitlocker можно ознакомиться на официальном сайте Microsoft — https://technet.microsoft.com/ru-ru/magazine/2007.06.bitlocker.aspx

Подготовка сервера Hyper-V 2012 R2 Server Core

Как правило, поддержка TPM в Windows выключена. Включается она в настройках BIOS’a. В нашем случае мы используем Core версию операционной системы, и поэтому проверить включен ли TPM или нет стандартной оснасткой Device Manager не получится. Для этого воспользуемся модулем для Powershell, который разработали в Microsoft Partner & Customer Solutions Blog: https://technet.microsoft.com/ru-ru/magazine/2007.06.bitlocker.aspx
Устанавливаем модуль с помощью команды:


Ipmo .\ScriptName.psd1 –Verbose

PS C:\> Ipmo .\DeviceManagement.psd1 -Verbose

VERBOSE: Loading module from path

'C:\DeviceManagement.psd1'.

VERBOSE: Importing cmdlet 'Disable-Device'.

VERBOSE: Importing cmdlet 'Enable-Device'.

VERBOSE: Importing cmdlet 'Get-Device'.

VERBOSE: Importing cmdlet 'Get-Driver'.

VERBOSE: Importing cmdlet 'Get-NUMA'.

VERBOSE: Importing cmdlet 'Install-DeviceDriver'.

Просмотреть все оборудование в системе можно командой:


Get-Device | Sort-Object -Property Name | ft Name, DriverVersion

Если модуль TPM включен, то он отобразится в списке оборудования:


PS C:\> Get-Device | Sort-Object -Property Name | ft Name, DriverVersion

…

Trusted Platform Module 1.2             6.3.9600.16384

Управление настройками TPM в операционной системе Hyper-V 2012 R2 Server Core происходит при помощи специальных командлетов, которые активируются командой:


dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

PS C:\> dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Deployment Image Servicing and Management tool

Version: 6.3.9600.16384

Image Version: 6.3.9600.16384

Enabling feature(s)

[==========================100.0%==========================]

The operation completed successfully.

Детальное описание всех TPM-коммандлетов — http://blogs.technet.com/b/wincat/archive/2012/09/06/device-management-powershell-cmdlets-sample-an-introduction.aspx

Просмотреть параметры TPM можно с помощью команды:

PS C:\ > Get-TPM

Настройка предохранителей.

Для шифрования диска нужно указать, где будет храниться ключ шифрования. В нашем случае укажем в качестве предохранителей ключа TPM и отдельно пароль восстановления, который поможет нам в случае чего расшифровать диск.

Для настройки предохранителей воспользуемся системной утилитой: manage-bde

Добавляем в качестве предохранителя модуль TPM командой:


manage-bde –protectors –add C: -tpm

PS C:\Users\Administrator> manage-bde -protectors -add G: -tpm

BitLocker Drive Encryption: Configuration Tool version 6.3.9600

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Key Protectors Added:

TPM:

ID: {BC0479C0-96DB-42D4-8C28-957385B9D8D9}

PCR Validation Profile:

0, 2, 4, 8, 9, 10, 11

После того, как предохранитель ключа добавился, включаем процесс шифрования командой:


manage-bde –on –recoverypassword C:

Следуя инструкции, сохраняем автоматически сгенерированный пароль и завершаем процедуру, как описано на рис. ниже.

Просмотреть процесс шифрования диска после перезагрузки сервера можно командой:


manage-bde.exe -status C:

PS C:\> manage-bde.exe -status C:

BitLocker Drive Encryption: Configuration Tool version 6.3.9600

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: []

[OS Volume]

Size:                 464.44 GB

BitLocker Version:   2.0

Conversion Status:   Fully Encrypted

Percentage Encrypted: 100.0%

Encryption Method:   AES 128

Protection Status:   Protection On

Lock Status:         Unlocked

Identification Field: Unknown

Key Protectors:

TPM

Numerical Password

Другие статьи на тему BitLocker