В данной статье мы рассмотрим настройку Bitlocker с поддержкой TPM-модуля в среде Hyper-V 2012 R2 Server Core.
Bitlocker – встроенная в Windows утилита, позволяющая защитить данные при помощи шифрования. Bitcloker использует алгоритм AES с ключом 128 бит, для большей безопасности данных длина ключа может быть увеличена до 256 бит. Хранение и целостность ключа шифрования, по умолчанию, обеспечивает модуль TPM. Данный модуль представляет собой чип, встроенный в материнскую плату компьютера, который при загрузке компьютера проверяет запускаемый код, подсчитывает значение хэша и сохраняет в специальных регистрах, называемых PCR (Platform configuration registers). Более подробно с работой TPM и Bitlocker можно ознакомиться на официальном сайте Microsoft — https://technet.microsoft.com/ru-ru/magazine/2007.06.bitlocker.aspx
Подготовка сервера Hyper-V 2012 R2 Server Core
Как правило, поддержка TPM в Windows выключена. Включается она в настройках BIOS’a. В нашем случае мы используем Core версию операционной системы, и поэтому проверить включен ли TPM или нет стандартной оснасткой Device Manager не получится. Для этого воспользуемся модулем для Powershell, который разработали в Microsoft Partner & Customer Solutions Blog: https://technet.microsoft.com/ru-ru/magazine/2007.06.bitlocker.aspx
Устанавливаем модуль с помощью команды:
Ipmo .\ScriptName.psd1 –Verbose
PS C:\> Ipmo .\DeviceManagement.psd1 -Verbose
VERBOSE: Loading module from path
'C:\DeviceManagement.psd1'.
VERBOSE: Importing cmdlet 'Disable-Device'.
VERBOSE: Importing cmdlet 'Enable-Device'.
VERBOSE: Importing cmdlet 'Get-Device'.
VERBOSE: Importing cmdlet 'Get-Driver'.
VERBOSE: Importing cmdlet 'Get-NUMA'.
VERBOSE: Importing cmdlet 'Install-DeviceDriver'.
Просмотреть все оборудование в системе можно командой:
Get-Device | Sort-Object -Property Name | ft Name, DriverVersionЕсли модуль TPM включен, то он отобразится в списке оборудования:
PS C:\> Get-Device | Sort-Object -Property Name | ft Name, DriverVersion
…
Trusted Platform Module 1.2 6.3.9600.16384
Управление настройками TPM в операционной системе Hyper-V 2012 R2 Server Core происходит при помощи специальных командлетов, которые активируются командой:
dism /online /enable-feature /FeatureName:tpm-psh-cmdlets
PS C:\> dism /online /enable-feature /FeatureName:tpm-psh-cmdlets
Deployment Image Servicing and Management tool
Version: 6.3.9600.16384
Image Version: 6.3.9600.16384
Enabling feature(s)
[==========================100.0%==========================]
The operation completed successfully.
Детальное описание всех TPM-коммандлетов — http://blogs.technet.com/b/wincat/archive/2012/09/06/device-management-powershell-cmdlets-sample-an-introduction.aspx
Просмотреть параметры TPM можно с помощью команды:
PS C:\ > Get-TPMНастройка предохранителей.
Для шифрования диска нужно указать, где будет храниться ключ шифрования. В нашем случае укажем в качестве предохранителей ключа TPM и отдельно пароль восстановления, который поможет нам в случае чего расшифровать диск.
Для настройки предохранителей воспользуемся системной утилитой: manage-bde
Добавляем в качестве предохранителя модуль TPM командой:
manage-bde –protectors –add C: -tpm
PS C:\Users\Administrator> manage-bde -protectors -add G: -tpm
BitLocker Drive Encryption: Configuration Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key Protectors Added:
TPM:
ID: {BC0479C0-96DB-42D4-8C28-957385B9D8D9}
PCR Validation Profile:
0, 2, 4, 8, 9, 10, 11
После того, как предохранитель ключа добавился, включаем процесс шифрования командой:
manage-bde –on –recoverypassword C:Следуя инструкции, сохраняем автоматически сгенерированный пароль и завершаем процедуру, как описано на рис. ниже.
Просмотреть процесс шифрования диска после перезагрузки сервера можно командой:
manage-bde.exe -status C:
PS C:\> manage-bde.exe -status C:
BitLocker Drive Encryption: Configuration Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
[OS Volume]
Size: 464.44 GB
BitLocker Version: 2.0
Conversion Status: Fully Encrypted
Percentage Encrypted: 100.0%
Encryption Method: AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password