bitlocker logo

Настройка Bitlocker с TPM на Hyper-V 2012 R2

В данной статье мы рассмотрим настройку Bitlocker с поддержкой TPM-модуля в среде Hyper-V 2012 R2 Server Core.

Bitlocker – встроенная в Windows утилита, позволяющая защитить данные при помощи шифрования. Bitcloker использует алгоритм AES с ключом 128 бит, для большей безопасности данных длина ключа может быть увеличена до 256 бит. Хранение и целостность ключа шифрования, по умолчанию, обеспечивает модуль TPM. Данный модуль представляет собой чип, встроенный в материнскую плату компьютера, который при загрузке компьютера проверяет запускаемый код, подсчитывает значение хэша и сохраняет в специальных регистрах, называемых PCR (Platform configuration registers). Более подробно с работой TPM и Bitlocker можно ознакомиться на официальном сайте Microsoft — https://technet.microsoft.com/ru-ru/magazine/2007.06.bitlocker.aspx

Подготовка сервера Hyper-V 2012 R2 Server Core

Как правило, поддержка TPM в Windows выключена. Включается она в настройках BIOS’a. В нашем случае мы используем Core версию операционной системы, и поэтому проверить включен ли TPM или нет стандартной оснасткой Device Manager не получится. Для этого воспользуемся модулем для Powershell, который разработали в Microsoft Partner & Customer Solutions Blog: https://technet.microsoft.com/ru-ru/magazine/2007.06.bitlocker.aspx
Устанавливаем модуль с помощью команды:

Ipmo .\ScriptName.psd1 –Verbose
PS C:\> Ipmo .\DeviceManagement.psd1 -Verbose
VERBOSE: Loading module from path
'C:\DeviceManagement.psd1'.
VERBOSE: Importing cmdlet 'Disable-Device'.
VERBOSE: Importing cmdlet 'Enable-Device'.
VERBOSE: Importing cmdlet 'Get-Device'.
VERBOSE: Importing cmdlet 'Get-Driver'.
VERBOSE: Importing cmdlet 'Get-NUMA'.
VERBOSE: Importing cmdlet 'Install-DeviceDriver'.

Просмотреть все оборудование в системе можно командой:

Get-Device | Sort-Object -Property Name | ft Name, DriverVersion

Если модуль TPM включен, то он отобразится в списке оборудования:

PS C:\> Get-Device | Sort-Object -Property Name | ft Name, DriverVersion
…
Trusted Platform Module 1.2             6.3.9600.16384

Управление настройками TPM в операционной системе Hyper-V 2012 R2 Server Core происходит при помощи специальных командлетов, которые активируются командой:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets
PS C:\> dism /online /enable-feature /FeatureName:tpm-psh-cmdlets
Deployment Image Servicing and Management tool
Version: 6.3.9600.16384
Image Version: 6.3.9600.16384
Enabling feature(s)
[==========================100.0%==========================]
The operation completed successfully.

Детальное описание всех TPM-коммандлетов — http://blogs.technet.com/b/wincat/archive/2012/09/06/device-management-powershell-cmdlets-sample-an-introduction.aspx

Просмотреть параметры TPM можно с помощью команды:

PS C:\ > Get-TPM

Настройка предохранителей.

Для шифрования диска нужно указать, где будет храниться ключ шифрования. В нашем случае укажем в качестве предохранителей ключа TPM и отдельно пароль восстановления, который поможет нам в случае чего расшифровать диск.

Для настройки предохранителей воспользуемся системной утилитой: manage-bde

Добавляем в качестве предохранителя модуль TPM командой:

manage-bde –protectors –add C: -tpm
PS C:\Users\Administrator> manage-bde -protectors -add G: -tpm
BitLocker Drive Encryption: Configuration Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key Protectors Added:
TPM:
ID: {BC0479C0-96DB-42D4-8C28-957385B9D8D9}
PCR Validation Profile:
0, 2, 4, 8, 9, 10, 11

После того, как предохранитель ключа добавился, включаем процесс шифрования командой:

manage-bde –on –recoverypassword C:

Следуя инструкции, сохраняем автоматически сгенерированный пароль и завершаем процедуру, как описано на рис. ниже.

Просмотреть процесс шифрования диска после перезагрузки сервера можно командой:

manage-bde.exe -status C:
PS C:\> manage-bde.exe -status C:
BitLocker Drive Encryption: Configuration Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
[OS Volume]
Size:                 464.44 GB
BitLocker Version:   2.0
Conversion Status:   Fully Encrypted
Percentage Encrypted: 100.0%
Encryption Method:   AES 128
Protection Status:   Protection On
Lock Status:         Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password