BitLocker VM’is Windows 2008 R2 ja Hyper-V näitel.

Tjah, aeg ajalt on vaja ehitada igasuguseid põnevaid asju. Nagu näiteks installeerida Windows 2008 R2 server, mis on BitLockeriga kaitstud. Asja teeb keerukamas asjaolu, et SEE server peab olema virtuaalserver ja töötama MS Windows Hyper-V peal.

Mure 1

Hyper-V ei toeta TPM’i VM’ide  jaoks. Hyper-V saab küll ise TPM’iga suhelda ja seega on võimalik krüptida nii Hyper-V masina süsteemiketas kui andmekettad, kuid TPM ei paista kuidagi välja VM sees ja seega paneb BitLockeri sisselülitamine (peale vastava omaduse installeerimist) süüdimatult tala.

Lahendus. Muuda kohaliku poliitika (local policy) või grupipoliitika (group policy) abil nõue TPM kiibi järgi. See protsess on kenasti kirjeldatud Technetis ja ei hakka siin teooriat pikalt üle kordama. Lühidalt – Computer Configuration> Administrative Templates>Windows Components>BitLocker Drive Encryption> Operating System Drives> Require additional authentication on startup.

image

 

Sellega oled Sa poolel teel, sest mängu astub järgmine faktor.

Mure 2

Puudulik USB tugi. BitLocker salvestab oma käivitusvõtme (startup key) (Kui TPM’i pole siis on seda vaja) USB-pulgale. MS Hyper-V USB tugi jätab paraku selle koha pealt soovida. Ehk, BitLockeri sisselülitamisel kuvatakse küll esmalt julgustav teade,

image

kuid käivitusvõtme salvestuskohtade valikus haigutab suur tühjus.

 

Lahendus: Esmalt tuleb VM’i külge haakida virtuaalne flopi  ja see vormindada (format). Kas siis Hyper-V manageri või SC Virtual Machine manageri abil. Hoolitse et su VM ei prooviks sealt buutida. BitLocker tuleb sisse lülitada käsurealt.

manage-bde –on c: –rp –sk A:

kus C: on süsteemiketta tähis. –rp genereerib numbrilise “parooli” ise ja –sk (käivitusvõti, ehk startup key) salvestatakse flopile a:

Voilaa. Väljastatakse natuke infot, mida on kaval kuskil TURVALISES kohas hoida ja soovitatakse restartida.

Peale restarti algabki C: krüptimine, mille kohta saad infot  süsteemisalvest või käsurealt

manage-bde –status

käsuga. Protection status muutub ON’iks  100% juures.

image

 

NB! Siin juures on üks asjaolu, millele KINDLASTI tuleb tähelepanu pöörata!.

Kui Sa kasutad oma Hyper-V serveris vhd’de juures dünaamilist suurust (ehk vhd võtab ruumi nii palju kui seal reaalselt andmeid on, mitte kogu eraldatud ruum), siis krüptimise käigus suurendatakse vhd eraldatud ruumi lõpuni. Ehk 20 GB Dynamic Disk , mis ennem võis olla umbes 8 GB suurusega suurendatakse 20 GB’ni välja.

 

Testiks võid vastva flopi oma VM’ilt küljest võtta ja VM’i restartimisel avaneb julgustva pilt.

image

 

Kokkuvõte

 

Jah, antud lahendus POLE sama kindel kui riistvaralise TPM kiibiga BitLocker. Erilist tähelepanu peab ilmutama flopiketta tõmmisfaili käsitlemisel (säilitamine, kopeerimine). Ühe  variandina tuleks kõne alla vfd hoidmine mingil optilisel meedial ja sealt selle lugemine, sest teatavasti saab kustutatud faile imekergesti taastada. Kui VM’i buutida vaja pole, võib selle optilise ketta šeifi panna ja välja otsida buutimis hetkeks.

Teatud erinevused (BL partitsiooni käsitsi tegemise vajadus, manage-bde käivitamine) esinevad Windows 2008/Vista puhul.

 

Keywords: Hyper-V BitLocker VM USB