Квартальное обновление Exchange Server (Июнь 2019)

Основные изменения:

  • Ограничение разрешений для Exchange в Active Directory – убраны права, которые не требуются для корректной работы Exchange; обновление каталога совместимо со всеми версиями Exchange независимо от установленных пакетов обновлений
  • Поддержка .NET Framework 4.8 – минимально необходимая версия 4.7.2, 4.8 будет требоваться для обновлений начиная с Декабря 2019 и позже
  • Обновление политики аутентификации для Exchange 2019
  • Modern Authentication в локальных установках Exchange – будет доступно только для Hybrid Configuration
  • Контролируемые подключения к общим папкам в Outlook

Источник

Shielded VM

Защита виртуальных машин, размещенных в дата центре

В век облачных технологий, когда у каждого пользователя есть собственное облако для хранения фотографий, а компании арендуют сервера для облачных вычислений, встает вопрос о конфиденциальности хранимой информации. И если пользователи для защиты хранимых данных могут обойтись доверием к облаку или использованием крипто контейнеров, то у компаний дела обстоят хуже. Так как в облака переносится не только хранилище данных, но и сами вычисления.

Особенно страдает защита виртуальных машин, так как в случае компрометации хоста, не составит труда получить доступ к ВМ. До недавнего времени ни один из гипервизоров будь то VMware, Xen, Hyper-V не предоставляли каких-либо значимых технологий по защите ВМ.

А если злоумышленник получит физический доступ к серверу, то спасти может только шифрование дисков, и то не во всех случаях. Конечно арендуя сервер, часть защитных мер берет на себя дата центр. Но в таком случае необходимо доверять администраторам дата центра.

С релизом Windows Server 2016, в Microsoft решили уделить больше внимания безопасности хоста и виртуальной инфраструктуры. Появилась возможность изолировать ВМ от администратора хоста Hyper-V. А используя виртуальный TPM стало возможным шифрование данных ВМ с помощью bitlocker.

Таким образом используя новые технологии можно размещать виртуальные машины на неподконтрольных серверах или в корпоративных дата центрах, но с повышенным уровнем безопасности, разграничивая роли физического и виртуального доступа.

Используемые технологии

Shielded VM – технология изолирующая виртуальную машину от хоста. Защищает ВМ от случайных или преднамеренных действий администратора хоста и от вредоносного программного обеспечения.

Для работы Shielded VM необходимо наличие сервера Host Guardian Service(HGS), который выдает ключи доступа к ВМ и проверяет здоровье хоста Hyper-V.

HGS поддерживает два вида аттестации:

  1. TPM-trusted аттестация – проверка проходит на основе идентификатора TPM, последовательности загрузки ОС и политики целостности кода. Таким образом можно быть уверенным, что на хосте работает только одобренный код.
  2. Admin-trusted аттестация – проверка происходит на основе принадлежности к группе безопасности Active Directory.

Схема работы HGS:

Схема работы HGS

При запуске виртуальной машины защищённый хост проходит аттестацию у HGS сервера, который принимает решение о передачи ключей доступа к виртуальной машине.

Admin-trusted аттестацию целесообразно использовать внутри предприятия, когда нужно изолировать доступ к ВМ от администраторов.

TPM-trusted аттестацию лучше использовать при размещении ВМ на арендованном сервере, чтобы обеспечить изоляцию данных и ВМ от работников Дата Центра.

Связь сервера HGS и защищённого хоста осуществляется по http (https) протоколу. HTTPS не требуется, для обеспечения безопасной связи, но, если вы захотите включить HTTPS, вам потребуется дополнительный сертификат. В случае AD аттестации необходимо дополнительно настроить односторонний доменный траст.

Virtual Secure Mode (VSM) – технология работающая на основе виртуализации, которая позволяет изолировать критические для безопасности операции в мини ОС.

На VSM работают две другие технологии:

  • Device Guard – проверка данных UEFI прошивки и драйверов режима ядра (контроль целостности кода);
  • Credential Guard – изоляция процесса аутентификации пользователей (LSA).

Принцип работы VSM:

Принцип работы VSM

Основная ОС запускается в виртуальном окружении. А гипервизор выступает в роли хостовой ОС, тем самым ограничивая доступ к оперативной памяти. В итоге вредоносное ПО запущенное на хосте даже с администраторскими правами не сможет получить доступ к памяти VSM. Также такая структура должна защищать от атаки на DMA порты.

Об организации Shielded VM

Заказывая Shielded VM подразумевается, что хост Hyper-V и сервер HGS находятся на стороне дата центра (так организованно в Microsoft Azure). В таком случае создавать экранированную виртуальную машину можно самостоятельно или используя предоставленный шаблон.

Создавая Shielded VM самостоятельно заказчик у себя на ПК разворачивает и настраивает ВМ, а потом шифрует ключом выданным Дата Центром. После переносит ВМ в Дата Центр.

Во втором случае, заказчик создает только PDK файл, защищающий ВМ созданную из шаблона. PDK файл связывает файл шаблона с HGS сервером. Но необходимо убедиться, что в шаблоне нет вредоносного ПО.

Первый способ выглядит более безопасным, так как файл данных ВМ попадает на хост в уже шифрованном виде. В любом случае ключи доступа к ВМ не попадают к администраторам Дата Центра в открытом виде.

Единственным местом подверженным атакам остался HGS сервер. Так как:

  • Администратор HGS может понизить требования к политике безопасности;
  • Злоумышленник получивший администраторские права может попробовать получить ключи доступа;
  • Для работы HGS требуется AD и нет требования к обязательному наличию TPM, следовательно, ключи вероятней всего будут храниться в открытом виде.

Исходя из этого появилась, идея проверить возможность работы Shielded VM в условиях, когда сервер HGS размещается в своей инфраструктуре. Это еще больше обезопасит виртуальные машины. Также такой способ можно использовать если Дата Центр не предоставляет услугу Shielded VM. Минус этого подхода в том, что придётся самостоятельно администрировать эту структуру.

Может возникнуть вопрос о подмене сервера HGS администратором гипервизора — ведь для этого необходимо просто указать новый адрес. Защита от этого реализована достаточно просто, созданная ВМ зашифрована с использованием открытого ключа HGS сервера, поэтому другой HGS сервер не сможет выдать ключи для ее запуска.

Также стоит понимать, что технология Shielded VM шифрует только конфигурационные файлы виртуальной машины. VHDX файл остаётся незашифрованным. Для его шифрования нужно включить vTPM, и зашифровать диск битлокером.

Сочетание новых технологий предоставляет надежную защиту:

  • человеческий фактор устранен;
  • ключи передаются в зашифрованном виде;
  • серверы защищены новыми технологиями, предусматривающими проверку целостности кода;
  • белый список разрешенных приложений;
  • изоляция ВМ от хоста.

Это все очень хорошо защищает от вредоносного ПО нацеленного на хост Hyper-V и предоставляет доступ к ВМ только владельцу, защищая от действий администраторов или кого-либо получившего администраторские права.

Требования к серверам Hyper-V и HGS

Требования указаны для использования TPM аттестации. AD аттестация менее требовательна, но при этом обеспечивает гораздо меньшую защиту.

HGS:

  • Windows Server 2016

Hyper-V:

  • Windows Server 2016 Datacenter Edition
  • UEFI Secure Boot
  • TPM v2
  • IOMMU (VT-d)

Как настроить

Для примера будет рассмотрен вариант: вы арендовали выделенный сервер и хотите его обезопасить. Будет использована TPM аттестация. Соединение между хостом и HGS будет проходить по http протоколу. Если HGS сервер не имеет белого IP необходимо будет пробросить 80 порт или использовать реверс прокси.

Добавление и настройка HGS роли на сервере

Установка HGS сервера и создание домена

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

HGS для работы необходим домен. Его можно подключить к уже существующему домену, но рекомендуется создание отдельного домена для повышения безопасности. Перед выполнением следующей команды необходимо убедиться, что компьютер не подключен к домену.

$adminPassword = ConvertTo-SecureString -AsPlainText '' -Force

Install-HgsServer -HgsDomainName 'relecloud.com' -SafeModeAdministratorPassword $adminPassword -Restart

Установка HGS сервера

Создание самоподписаных сертификатов

Для теста были созданы самоподписанные сертификаты, но для реальной среды лучше использовать PKI.

$certificatePassword = ConvertTo-SecureString -AsPlainText '' -Force

$signingCert = New-SelfSignedCertificate -DnsName "signing.relecloud.com"

Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'

$encryptionCert = New-SelfSignedCertificate -DnsName "encryption.relecloud.com"

Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

Создание самоподписаных сертификатов

Создание самоподписаных сертификатов

Инициализация HGS сервера

Указываем сертификаты шифрования и подписи. Выбираем метод аттестации.

$certificatePassword = ConvertTo-SecureString -AsPlainText '' -Force

Initialize-HgsServer -HgsServiceName '' -SigningCertificatePath 'C:\signingCert.pfx' -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath 'C:\encryptionCert.pfx' -EncryptionCertificatePassword $certificatePassword [-TrustActiveDirectory | -TrustTPM]

Инициализация HGS сервера

Инициализация HGS сервера

Добавление охраняемого хоста Hyper-V

Получаем идентификатор TPM

Данную процедуру необходимо выполнить для каждого защищаемого хоста.

(Get-PlatformIdentifier -Name '').InnerXml | Out-file .xml -Encoding UTF8

идентификатор TPM

Добавляем полученный файл на сервер HGS

Add-HgsAttestationTpmHost -Path .xml -Name  -Force

идентификатор TPM

Создаем и применяем Code Integrity Policy

При создании политики происходит сканирование всех установленных программ и добавление их в белый список. Перед созданием политики необходимо убедится, что в системе:

  • Отсутствуют вирусы и вредоносное ПО
  • Установлено необходимое для работы ПО и оно является благонадежным

Рекомендуется сначала проверить работу политики в режиме аудита. В таком случае исполняемый файл, запрещенный политикой будет отображен в логе.

Сканирование займет некоторое время.

New-CIPolicy -Level FilePublisher -Fallback Hash -FilePath 'C:\temp\HW1CodeIntegrity.xml' -UserPEs

ConvertFrom-CIPolicy -XmlFilePath 'C:\temp\HW1CodeIntegrity.xml' -BinaryFilePath 'C:\temp\HW1CodeIntegrity.p7b'

Code Integrity Policy

Code Integrity Policy

Файл .p7b необходимо переименовать в SIPolicy.p7b и скопировать в папку C:\Windows\System32\CodeIntegrity\SIPolicy.p7b

Перезагружаем компьютер и проверяем работу системы под планируемой типичной нагрузкой. После успешной проверки работы системы отключаем режим аудита

Set-RuleOption -FilePath 'C:\temp\HW1CodeIntegrity.xml' -Option 3 -Delete

ConvertFrom-CIPolicy -XmlFilePath 'C:\temp\HW1CodeIntegrity.xml' -BinaryFilePath 'C:\temp\HW1CodeIntegrity_enforced.p7b'

Copy-Item -Path '' -Destination 'C:\Windows\System32\CodeIntegrity\SIPolicy.p7b'

Restart-Computer

Если защищаться будет несколько идентичных хостов, политику можно создать только один раз.

Рекомендуется оставить исходный XML файл, чтобы в случае необходимости изменения политики не проводить повторное сканирование.

При включенной политике необходимо быть осторожным с обновлением или добавление драйверов режима ядра, так как это может предотвратить загрузку системы.

Регистрируем политику на HGS сервере

Add-HgsAttestationCIPolicy -Path  -Name ''

политика на HGS сервере

Создание TPM baseline политики

Эта политика основывается на PCR регистрах (Platform Configuration Registers), находящихся в модуле TPM. В них хранятся целостности метрик системы, начиная с загрузки BIOS до завершения работы системы. Если порядок загрузки будет изменен, например, руткитом, это отобразиться в регистрах PCR.

Политика создается для класса одинаковых аппаратных хостов. Перед ее созданием необходимо иметь установленный Hyper-V.

Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart

Get-HgsAttestationBaselinePolicy -Path 'HWConfig1.tcglog'

Для данной команды необходимо включить Secure Boot, IOMMU (VT-d), Virtualization Based Security.

Можно использовать флаг -SkipValidation который позволить выполниться команде, но он не исправит ошибки.

TPM baseline политика

Добавляем TCGlog файл на HGS сервере

Add-HgsAttestationTpmPolicy -Path .tcglog -Name ''

TCGlog файл на HGS сервере

Проверяем статус HGS сервера

На этом моменте настройка HGS сервера заканчивается. Для проверки выполненной работы проведем диагностику.

Get-HgsTrace -RunDiagnostics

статус HGS сервера

статус HGS сервера

Подключаем хост Hyper-V к HGS серверу

Для подключения защищаемого хоста к серверу HGS достаточно указать URL адрес сервера.

Set-HgsClientConfiguration -AttestationServerUrl 'http:///Attestation' -KeyProtectionServerUrl 'http:///KeyProtection'

Подключение Hyper-V к HGS серверу

При правильной настройке должно быть:

  • IsHostGuarded: true
  • AttestationStatus: passed

Если что-то настроено не верно в AttestationStatus будет указана причина.

Создание экранированной виртуальной машины

Получаем файл описания HGS сервера, который понадобиться для привязки ВМ к серверу.

Invoke-WebRequest http://<"HGSServer">FQDN>/KeyProtection/service/metadata/2014-07/metadata.xml -OutFile C:\HGSGuardian.xml

Создание экранированной ВМ

Создавать ВМ нужно на отдельной машине под управлением Windows Server 2016, не настроенной на использование HGS.

Создаем новую ВМ второго поколения, устанавливаем на нее ОС, настраиваем RDP и проверяем его работоспособность, шифруем битлокером.

Создание экранированной ВМ

Экранирование ВМ

Задаем название ВМ

$VMName = 'SVM'

Выключаем ВМ

Stop-VM –VMName $VMName

Создаем сертификат владельца

$Owner = New-HgsGuardian –Name 'Owner' –GenerateCertificates

Импортируем сертификат сервера

$Guardian = Import-HgsGuardian -Path 'C:\HGSGuardian.xml' -Name 'TestFabric' –AllowUntrustedRoot

Создаем Key Protector

$KP = New-HgsKeyProtector -Owner $Owner -Guardian $Guardian -AllowUntrustedRoot

Включаем экранирование

Set-VMKeyProtector –VMName $VMName –KeyProtector $KP.RawData

Set-VMSecurityPolicy -VMName $VMName -Shielded $true

Включаем vTPM в виртуальной машине

Enable-VMTPM -VMName $VMName

Экранирование ВМ

После настройки и включения защиты в ВМ ее необходимо переместить на охраняемый хост. Для этого экспортируем машину, переносим полученные файлы на хост, и импортируем ее в консоль Hyper-V.

На этом этапе настройка завершена, ВМ экранирована.

Проверяем работу Shielded VM

При попытке подключится к ВМ через консоль Hyper-V увидим сообщение:

Провка работы Shielded VM

Так же в настройках ВМ увидим предупреждение о невозможности менять настройки защиты:

Проверка работы Shielded VM

Раздел виртуальной машины защищен BitLocker-ом:

Проверка работы Shielded VM

Таким образом была произведена настройка Shielded VM, которая обеспечивает более высокий уровень защиты виртуальных машин. Если у вас остались вопросы, добро пожаловать в комментарии.

Мы занимаемся интеграцией и поддержкой ИТ решений для бизнеса. Свяжитесь с нами, что бы узнать больше о возможных ИТ решениях для вашей компании.

BitLocker on Exchange

BitLocker на серверах Exchange

Aрхитектура Exchange рекомендует включать BitLocker на фиксированных дисках с данными, которые хранят файлы баз данных Exchange, как для Exchange Server 2013, так и для Exchange Server 2016.

Что такое BitLocker?

BitLocker – это  встроенное в Microsoft Windows решение для шифрования томов, обеспечивающее повышенную защиту от кражи данных, например, в случаях похищения или утери компьютеров или жестких дисков.

Впервые BitLocke был представлен в Windows Vista и Windows Server 2008. С момента первого выпуска в BitLocker было сделано несколько усовершенствований, включая шифрование томов с данными, шифрование только используемого на диске пространства и гибкость резервирования.

По умолчанию BitLocker использует алгоритм шифрования AES в режиме cipher block chaining (CBC) со 128-битным (по умолчанию) или 256-битным ключом.

Как развернуть BitLocker?

Существует несколько варинатов развертывания BitLocker на серверах Exchange.

1. Шифрование тома операционной системы, а также томов данных Exchange с использованием либо network unlock, Data Recovery Agent and PKI infrastructure или при помощи TPM (рекомендуемый подход).

2. Шифрование только томов данных Exchange.

Чтобы использовать BitLocker для соответствия FIPS, следует учитывать:

  • Trusted Platform Module (TPM) версии 1.2 не является FIPS-совместимым и использует SHA1. Вы должны использовать TPM версии 2.0 для соответствия FIPS.
  • Для эффективного использования функции сети разблокировки, Вы должны принять во внимание основные требования.
  • Если Вы не используете Windows Server 2012 R2 или более поздние версии в качестве базовой операционной системы, то Вы не можете использовать пароли восстановления для BitLocker. Для получения дополнительной информации см. What’s New in BitLocker и KB 947249.

Метод шифрования тома

Есть два способа шифрования тома:

1. Шифрование всего объема. Используйте эту опцию, если Вам необходимо шифровать тома, которые уже содержат существующие данные системы обмена сообщениями. Например, для шифрования всего диска объемом 3 TB это займет более 8 часов.

2. Шифрование только используемого пространства. Используйте этот вариант для новых установок или новых дисков, на которых еще нет данных.

Перед началом процедуры шифрования всего тома убедитесь, что серверы переведены в режим обслуживания для предотвращения воздействия на конечных пользователей. Вы можете отметить значительное снижение производительности (~ 90% использования процессора) и уменьшение свободного пространства тома с ОС ( ~ 2 ГБ) пока производится шифрование тома. Кроме того, убедитесь, что развертывание BitLocker одновременно происходит не более, чем на одном сервере DAG для поддержания доступности.

Сценарий шифрования тома с ОС и томов данных Exchange

BitLocker обеспечивает максимальную защиту при использовании с модулем TPM. Модуль TPM – это аппаратный компонент, установленный на сервере, и мы рекомендуем использовать чип TPM версии 2.0. Он работает с BitLocker, помогая защитить данные пользователя, а также гарантируя, что сервер не был подделан пока был недоступен.

В частности, BitLocker может использовать TPM для проверки целостности компонентов ранней загрузки и данных конфигурации загрузки. Это помогает гарантировать, что BitLocker делает зашифрованный диск доступным только в случае, если эти компоненты не были подделаны и зашифрованный диск находится в исходном сервере.

BitLocker помогает гарантировать целостность процесса запуска, выполняя следующие действия:

  • Проверяет, что целостность файлов ранней загрузки сохранена и помогает гарантировать, чтобы не было вредоносных изменений этих файлов (например, заражения вирусом загрузочного сектора или руткитами).
  • Усиливает защиту для смягчения программных атак во время недоступности сервера. Любое альтернативное программное обеспечение, которое может запустить систему, не имеет доступа к ключам дешифрации для системного тома Windows.
  • Блокировка системы в случае подделки. Если какие-либо из контролируемых файлов были изменены, то система попросту не запустится. Если система не запускается в обычном режиме, то это сигнал администратору о фальсификации. В случае, если произошла блокировка системы, следуйте процедуре восстановления BitLocker, которая включает в себя процесс разблокировки системы при помощи пароля или USB-ключа.

Важно: TPM может быть использован только на физических серверах. Виртуальные серверы не способны использовать TPM. Если Вы зашифровали системный том гостевой операционной системы, то в обязательном порядке используйте пароль или USB-ключ для загрузки гостевой операционной системы.

Настройка среды

Приведенные ниже шаги предполагают, что на сервере Exchange установлена ОС Windows Server 2012 R2 или более поздняя.

Важно: При включении BitLocker на существующих серверах Exchange важно перевести серверы в режим обслуживания во избежание влияния процесса шифрования на конечных пользователей.

1. Создайте организационное подразделение (OU), содержащее серверы Exchange, если таковое не существует.

Запустите PowerShell с соответствующими разрешениями Active Directory.

New-ADOrganizationalUnit "Exchange Servers" -path "dc=contoso,dc=com"
$ExchangeOU = Get-ADOrganizationalUnit -Filter ‘Name -like "Exchange Servers"’
Get-ADComputer "Exchange Server" | Move-ADObject -TargetPath $ExchangeOU.DistinguishedName

2. Создайте объект групповой политики и свяжите его с OU, содержащим Exchange серверы.

Import-Module grouppolicy #RSAT должен быть установлен
New-GPO -Name "Exchange Server BitLocker Policy" -Domain contoso.com
New-GPLink -Name "Exchange Server BitLocker Policy" -Enforced "yes" -Target $ExchangeOU.DistinguishedName

3. Установите модуль BitLocker на серверах Exchange.

  • Запустите PowerShell с правами локального администратора.
  • Выполните Install-WindowsFeature BitLocker -Restart.
  • Перезагрузите сервер.

4. Включите TPM на серверах Exchange.

  • Обратитесь к производителю BIOS оборудования для получения подробной информации о том, как включить/активировать модуль TPM.
  • Проверьте состояние TPM с помощью Trusted Platform Module Management tool (tpm.msc).

5. Разрешите хранение информации восстановления TPM в Active Directory.

  • Откройте консоль Exchange с учетной записью, имеющей необходимые разрешения в Active Directory для применения записей управления доступом.
  • Выполните:
Add-ADPermission $ExchangeOU.DistinguishedName -User "NT AUTHORITY\SELF" -AccessRights ReadProperty,WriteProperty -Properties msTPM-OwnerInformation,msTPM-TpmInformationForComputer -InheritedObjectType Computer -InheritanceType Descendents

6. Настройте параметры Bitlocker в GPO.

  • Откройте консоль управления групповой политикой (gpmc.msc).
  • Перейдите по иерархической структуре к OU, содержащему серверы Exchange.
  • Щелкните правой кнопкой мыши Exchange Server BitLocker Policy и выберите Edit.
  • Откройте Computer Configuration, откройте Policies, откройте Administrative Templates, откройте Windows Components, и откройте BitLocker Drive Encryption.

    В правой панели дважды щелкните Choose drive encryption method and cipher strength. Выберите опцию Enabled. Если вы хотите использовать алгоритм AES с 256-битным шифрованием, выберите его и нажмите ОК.

Bitlocker configuration

  • Откройте Computer Configuration, откройте Policies, откройте Administrative Templates, откройте Windows Components, откройте BitLocker Drive Encryption, откройте Operating System Drives.
  • В правой панели дважды щелкните Require additional authentication at startup. Выберите опцию Enabled. Если Вы хотите отключить или изменить любой из методов аутентификации, сделайте это, и нажмите кнопку ОК.

BitLocker Drive Encryption

  • В правой панели дважды щелкните Choose how BitLocker-protected operating system drives can be recovered. Выберите опцию Enabled. Выберите Do not enable BitLocker until recovery information is stored to AD DS for operating system drives. Нажмите OK.

3

  • В правой панели дважды щелкните Enforce drive encryption type on operating system drives. Выберите опцию Enabled. Выберите опцию Used Space Only encryption для типа шифрования. Нажмите OK.

4

  • Откройте Computer Configuration, откройте Policies, затем Administrative Templates, потом Windows Components, далее BitLocker Drive Encryption, теперь откройте Fixed Data
  • В правой панели дважды щелкните Choose how BitLocker-protected fixed drives can be recovered. Выберите Enabled. Выберите Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives. Нажмите OK.

5

  • В правой панели дважды щелкните Enforce drive encryption type on fixed drives. Выберите Enabled. Выберите опцию Used Space Only encryption для типа шифрования. Нажмите OK.

6

  • Откройте Computer Configuration, следующий шаг Policies, затем Administrative Templates, потом откройте System, далее Trusted Platform Module Services.
  • В правой панели дважды щелкните Turn on TPM backup to Active Directory Domain Services. Выберите Enabled. Нажмите OK.

7

  • Убедитесь, что групповая политика применяется к серверам Exchange.
$Servers = Get-AdComputer -SearchBase $ExchangeOU.DistinguishedName -Filter
Foreach ($Server in $Servers) {invoke-gpupdate -Computer $Servers.Name -Force -Target Computer}
  • Включите шифрование ОС.

    Создайте ключ восстановления: manage-bde -protectors -add -RecoveryPassword C:

    Выполните следующую команду на системном диске ОС:manage-bde -on C: –usedspaceonly

  • Включите шифрование тома данных (C:\ExchangeVolumes\ExVol1 определяет точку монтирования для тома данных Exchange, замените при необходимости).

    Создайте ключ восстановления:manage-bde -protectors -add -RecoveryPassword «C:\ExchangeVolumes\ExVol1»

    Выполните следующие действия для каждого тома базы данных Exchange: manage-bde -on «C:\ExchangeVolumes\ExVol1» –usedspaceonly

    Выполните следующие действия для каждого тома баз данных Exchange для включения автоматической разблокировки: Enable-BitLockerAutoUnlock -MountPoint «C:\ExchangeVolumes\ExVol1»

Примечание: поврежденные сектора диска могут привести к сбоям шифрования томов при помощи BitLocker. Подробнее здесь: Event ID 24588.

Сценарий шифрования томов данных Exchange

В ситуации, когда TPM не может быть использован (например, сервер не имеет TPM, или виртуализирован), шифрование системного тома ОС требует использования пароля или ключа USB, чтобы позволить операционной системе корректно загрузиться. Так как это может негативно повлиять на службы Exchange, вы можете отказаться от шифрования системного тома ОС. Вместо этого, вы можете зашифровать тома данных. Поскольку системный том ОС не зашифрован, то ОС не может автоматически разблокировать зашифрованные тома при загрузке.

Таким образом, одно из двух условий должно выполняться:

1. Администратор вручную вводит ключ восстановления и разблокирует каждый диск после загрузки ОС.

2. Выполняется запланированная задача для разблокировки зашифрованных томов во время загрузки ОС.

Следующие шаги описывают, как настроить запланированную задачу и предполагают, что на сервере Exchange установлена ОС Windows Server 2012 R2 или более поздняя.

  • Создайте организационное подразделение (OU), содержащее серверы Exchange, если таковое не существует.
New-ADOrganizationalUnit "Exchange Servers" -path "dc=contoso,dc=com"
$ExchangeOU = Get-ADOrganizationalUnit "Exchange Servers"
Get-ADComputer "Exchange Server" | Move-ADObject -TargetPath  ExchangeOU.DistinguishedName
  • Создайте объект групповой политики и свяжите его с OU, содержащим сервера Exchange.
Import-Module grouppolicy #RSAT должен быть установлен
New-GPO -Name "Exchange Server BitLocker Policy" -Domain contoso.com
New-GPLink -Name "Exchange Server BitLocker Policy" -Enforced "yes" -Target $ExchangeOU.DistinguishedName
  • Создайте учетную запись BitLocker службы для запланированной задачи (_bitlockersvc).
  • Создайте группу безопасности для управления BitLocker, поместив группу безопасности в защищенный контейнер.
New-ADGroup -name "Exchange BitLocker Management" -groupscope Universal -path "cn=users,dc=coe,dc=local"
Add-ADGroupMember "Exchange BitLocker Management" -members "_bitlockersvc", "Organization Management"
  • Установите модуль BitLocker на серверах Exchange

Install-WindowsFeature BitLocker
  • Перезагрузите сервер.
  • Добавьте группу безопасности BitLocker в группу локальных администраторов на всех серверах Exchange
  • Предоставьте группе безопасности BitLocker доступ к объекту AD msFVE-RecoveryPassword. Это позволяет учетным записям получить доступ к паролю восстановления.
$ExchangeOU = Get-OrganizationalUnit "Exchange Servers"
DSACLS $ExchangeOu.DistinguishedName /I:T /G "contoso\Exchange BitLocker Management:CA;msFVE-RecoveryPassword"
  • Настройте параметры шифрования BitLocker в GPO.
  • Убедитесь, что групповая политика применяется к серверам Exchange.
$Servers = Get-AdComputer -SearchBase $ExchangeOU.DistinguishedName -Filter
Foreach ($Server in $Servers) {invoke-gpupdate -Computer $Servers.Name -Force -Target Computer}
  • Включите шифрование томов данных(C:\ExchangeVolumes\ExVol1 определяет точку монтирования для тома данных Exchange, замените при необходимости).

    Выполните следующие действия для каждого тома базы данных Exchange: Manage-bde -on «C:\ExchangeVolumes\ExVol1» -rp -usedspaceonly

  • Убедитесь, что ключи восстановления хранятся в Active Directory.

    Скачайте BitLocker Drive Encryption Configuration Guide: Backing Up BitLocker and TPM Recovery Information to Active Directory

    b. Выполните Get-BitLockerRecoveryInfo.vbs

    c. Если скрипт не возвращает никаких данных, выполните резервное копирование ключей восстановления путем загрузки и выполнения BDEAdBackup.vbs.

Создайте сценарий, который разблокирует тома данных при загрузке ОС.

Сохраните файл ниже в каталоге сценариев (например, c:\bitlocker).

UnlockDrives.ps1 
$computer = Get-ADComputer $env:computername 
$RecoveryInformations = get-ADObject -ldapfilter "(msFVE-Recoverypassword=*)" -Searchbase $computer.distinguishedname -properties * 
$vols = gwmi win32_encryptablevolume -Namespace "Root\CIMV2\Security\MicrosoftVolumeEncryption" 
$lockedvols = $vols | ? {$_.GetLockStatus().LockStatus -eq 1} 
$vols[0].GetKeyProtectors().VolumeKeyProtectorID 
foreach($lockedvol in $lockedvols) 
{ 
$RecoveryInformations | % {$lockedvol.UnlockWithNumericalPassword($_."msFVE-RecoveryPassword")} 
}
  • Создайте запланированное задание, которое будет запускаться при старте системы и разблокируйте тома данных, заменив выделенные жирным элементы.

    Сохраните файл в каталоге сценариев.

    b. Выполните schtasks /create /s $env:computername /ru contoso\_svcexbitlocker /rp /XML c:\Bitlocker\UnlockDrivesAtStart.xml /TN UnlockDrivesAtStart

Изменения в системе

Важно помнить, что любое из нижеследующих изменений в системе может привести к сбоям проверки целостности и не давать TPM выпустить ключ BitLocker для расшифровки защищенных томов:

  • Перемещение диска, зашифрованного при помощи BitLocker, в новый компьютер.
  • Установка новой материнской платы с новым модулем TPM.
  • Выключение, отключение или очистка TPM.
  • Изменение каких-либо настроек конфигурации загрузки.
  • Изменение BIOS, прошивки UEFI, основной загрузочной записи, загрузочного сектора, менеджера загрузки, дополнительного ПЗУ или других компонентов в начале загрузки или данных конфигурации загрузки.
  • Применение обновлений прошивки BIOS/UEFI.

Как часть вашей стандартной операционной процедуры, лучше приостановить шифрование BitLocker (через Suspend-BitLocker командлет) до введения каких-либо изменений на сервере. Кроме того, убедитесь, что любые аппаратные и программные изменения конфигурации успешно протестированы в тестовой среде (с включенным BitLocker) перед развертыванием в рабочей среде.

Кроме того, убедитесь, что разработана стандартная операционная процедура восстановления на случай, если возникнет необходимость в восстановлении BitLocker. Это сведет времени простоя к минимуму. Для получения более подробной информации, обратитесь к BitLocker Recovery Guide.

Работы по техническому обслуживанию дисков

Во время жизненного цикла сервера диски выходят из строя. В рамках ваших стандартных операционных процедур вы должны убедиться, что, когда диск заменяется новым, происходит форматирование тома и шифрование с помощью BitLocker.

В случае, если вы используете AutoReseed для восстановления сбойных дисков, у вас есть два варианта: форматирование и шифрование дисков перед использованием или шифрование после сбоя.

Форматирование и шифрование дисков перед использованием

В этом случае ваша стандартная процедура должна будет препятствовать форматированию резервных дисков через Disk Reclaimer. Вместо этого, вы форматируете и шифруете все резервные диски перед использованием.

1. Отключить Disk Reclaimer на DAG: Set-DatabaseAvailabilityGroup -AutoDagDiskReclaimerEnabled $false

2. Отформатируйте и зашифруйте все резервные диски. Не следует назначать точки монтирования или буквы дисков.

3. Как только диски отказывают, AutoReseed будет назначать резервные диски, заменяя неисправные тома, и повторно заполнять поврежденные копии баз данных.

4. Запланируйте время обслуживания. Замените неисправные диски. Отформатируйте и зашифруйте новые.

Шифрование после сбоя

В этом случае, ваша стандартная процедура будет позволять Disk Reclaimer отформатировать резервные диски (поведение по умолчанию). После того, как резервный диск будет отформатирован и базы данных заполнены, вы шифруете диск.

1. В случае отказа дисков, AutoReseed выделяет, перераспределяет и форматирует запасной диск.

2. AutoReseed инициирует операцию повторного заполнения.

3. Используя SCOM, или другой инструмент управления, вы отслеживаете события 1127 (инициирует операцию повторного заполнения базы данных) и 826 (завершение процесса повторного заполнения базы данных), которые находятся в Microsoft-Exchange-HighAvailability/Seeding канале.

4. Запланируйте техническое обслуживание для пострадавшего сервера и зашифруйте новый том.

Вывод

Эта информация поможет лучше понять шифрование и настройки BitLocker на серверах Exchange. Как указано, рекомендуемый подход заключается в использовании TPM для хранения информации восстановления, что позволяет операционной системе разблокировать тома данных автоматически во время загрузки. Однако, если Ваши серверы не имеют доступа к TPM, вы можете использовать шифрование только томов данных и разработать механизм разблокировки томов на этапе загрузки ОС.

Server maintenance

Об обслуживании серверов

Полная аренда инфраструктуры

За последние несколько лет наметилась стойкая тенденция выделения серверной инфраструктуры в отдельный компонент предоставления сервиса и, как следствие, передача функций по поддержки этой инфраструктуры специализированным компаниям.

Компания Сервилон предоставляет все виды услуг по проектированию, настройке и поддержке серверных решений. Наша команда сертифицированных специалистов по продуктам HP, DELL, Microsoft, CISCO и AVAYA спроектирует и внедрит самое оптимальное решение.

Все современные серверы имеют интерфейсы удаленного управления, а учитывая правила построения дата центров и серверных комнат, производить работы не связанные с заменой компонентов в непосредственной близости от серверов не только не безопасно, но и не правильно. Так же все больше представителей бизнеса понимают, что несколько штатных администраторов имеющих практически бесконтрольный доступ к серверам и данными это большая угроза безопасности чем специализированная компания. Как результат, все больше компаний передают поддержку серверной инфраструктуры на аутсорсинг.

Клиент арендует у заказчика все: серверы, программное обеспечение, а так же заказывает введение в строй и поддержку всего комплекса.

Итак, каким бывает аутсорсинг серверной инфраструктуры?

Мы не будем рассматривать вариант получения покупки сервиса как услуги Office365, Google mail, Облачные CRM и АТС.

Плюсы:

  • Все покупается в одном месте;
  • Можно очень гибко платить за лицензии, т.к. поставщик услуг использует SPLA лицензирование;
  • Единственная точка контакта и ответственности за весь проект;

Минусы:

  • Цена, часто гибридные решения получаются значительно дешевле;
  • Привязанность к одному поставщику услуг и соответственно сложности в случае если надо сменить какой-то один из компонентов;
  • Качество, чаще всего компании специализируются либо на сервисе, либо на предоставлении хостинга (colocation), и найти такого поставщика услуг который бы делал все на самом высоком уровне практически не возможно

Гибридные решения — самостоятельная покупка, аренда или аренда серверного оборудования и лицензий

При этом типе решения клиент разделяет услугу на несколько:

  • Покупка или аренда серверов и оборудования;
  • Размещение серверов и оборудования collocation;
  • Подключение к интернету;
  • Покупка или аренда лицензий;
  • Настройка и поддержка;
  • И самостоятельно определяет какие части отдавать на аутсорсинг и кому, либо делает их своими силами.

Плюсы:

  • Цена, выбирая самые оптимальные варианты можно получить самое дешевое решение из всех возможных;
  • Полный контроль над ситуацией, понимание сильных и слабых сторон конфигурации, рисков и стоимости увеличения надежности;
  • Возможность легкой замены компонентов или сервисов, не устраивающих по качеству или цене;
  • Наиболее надежное решение с точки зрения информационной безопасности;
  • Можно использовать ранее купленные лицензии.
  • Гибкость решений — можно запустить в минимальной конфигурации и, по мере увеличения нагрузки или добавления новых пользователей, оперативно расширить.

Минусы:

  • Дополнительные трудозатраты по ведению договоров оплате и т.д.;
  • Желательно иметь сотрудника который будет управлять всем проектом, иначе все плюсы данного решения могут сойти на нет.

Размещение серверов в собственном дата центре и передача их обслуживания на аутсорсинг

Данный вид аутсорсинга обычно применяется в следующих случаях:

  • Расположение большого числа пользователей в местах где не возможно или слишком дорого получить быстрые и надежные каналы передачи данных;
  • Необходимость размещения серверов в соответствии с требованиями властей и дорогие или не качественные альтернативные варианты;
  • Желание поставить серверы на баланс и тем самым увеличить стоимость основных средств.

Плюсы:

  • Возможность поставить оборудование на баланс;
  • Полное соблюдение различных требований властей;
  • Возможность организации быстрых каналов связи до 10Gb/s между серверами и пользователями;
  • Возможность использования серверов для приложений реального времени.
  • Часто бывает ситуация, когда внедрение новых сервисов затягивается на несколько лет, и к началу эксплуатации серверное оборудование уже устаревает.

Минусы:

  • Высокая цена;
  • Нельзя быстро увеличить ресурсы или снизить затраты;
  • Проблемы с безопасностью – на территории Российской федерации запрещено использование TPM;
  • Необходимость решения большого количества побочных задач — надежное электропитание, кондиционирование, физическая безопасность, каналы связи и т.д.;
  • Если дата-центр находится в офисе, то переезд в другой офис превращается в очень серьезную проблему.