BitLocker VM’is Windows 2008 R2 ja Hyper-V näitel.

Tjah, aeg ajalt on vaja ehitada igasuguseid põnevaid asju. Nagu näiteks installeerida Windows 2008 R2 server, mis on BitLockeriga kaitstud. Asja teeb keerukamas asjaolu, et SEE server peab olema virtuaalserver ja töötama MS Windows Hyper-V peal.

Mure 1

Hyper-V ei toeta TPM’i VM’ide  jaoks. Hyper-V saab küll ise TPM’iga suhelda ja seega on võimalik krüptida nii Hyper-V masina süsteemiketas kui andmekettad, kuid TPM ei paista kuidagi välja VM sees ja seega paneb BitLockeri sisselülitamine (peale vastava omaduse installeerimist) süüdimatult tala.

Lahendus. Muuda kohaliku poliitika (local policy) või grupipoliitika (group policy) abil nõue TPM kiibi järgi. See protsess on kenasti kirjeldatud Technetis ja ei hakka siin teooriat pikalt üle kordama. Lühidalt – Computer Configuration> Administrative Templates>Windows Components>BitLocker Drive Encryption> Operating System Drives> Require additional authentication on startup.

image

 

Sellega oled Sa poolel teel, sest mängu astub järgmine faktor.

Mure 2

Puudulik USB tugi. BitLocker salvestab oma käivitusvõtme (startup key) (Kui TPM’i pole siis on seda vaja) USB-pulgale. MS Hyper-V USB tugi jätab paraku selle koha pealt soovida. Ehk, BitLockeri sisselülitamisel kuvatakse küll esmalt julgustav teade,

image

kuid käivitusvõtme salvestuskohtade valikus haigutab suur tühjus.

 

Lahendus: Esmalt tuleb VM’i külge haakida virtuaalne flopi  ja see vormindada (format). Kas siis Hyper-V manageri või SC Virtual Machine manageri abil. Hoolitse et su VM ei prooviks sealt buutida. BitLocker tuleb sisse lülitada käsurealt.

manage-bde –on c: –rp –sk A:

kus C: on süsteemiketta tähis. –rp genereerib numbrilise “parooli” ise ja –sk (käivitusvõti, ehk startup key) salvestatakse flopile a:

Voilaa. Väljastatakse natuke infot, mida on kaval kuskil TURVALISES kohas hoida ja soovitatakse restartida.

Peale restarti algabki C: krüptimine, mille kohta saad infot  süsteemisalvest või käsurealt

manage-bde –status

käsuga. Protection status muutub ON’iks  100% juures.

image

 

NB! Siin juures on üks asjaolu, millele KINDLASTI tuleb tähelepanu pöörata!.

Kui Sa kasutad oma Hyper-V serveris vhd’de juures dünaamilist suurust (ehk vhd võtab ruumi nii palju kui seal reaalselt andmeid on, mitte kogu eraldatud ruum), siis krüptimise käigus suurendatakse vhd eraldatud ruumi lõpuni. Ehk 20 GB Dynamic Disk , mis ennem võis olla umbes 8 GB suurusega suurendatakse 20 GB’ni välja.

 

Testiks võid vastva flopi oma VM’ilt küljest võtta ja VM’i restartimisel avaneb julgustva pilt.

image

 

Kokkuvõte

 

Jah, antud lahendus POLE sama kindel kui riistvaralise TPM kiibiga BitLocker. Erilist tähelepanu peab ilmutama flopiketta tõmmisfaili käsitlemisel (säilitamine, kopeerimine). Ühe  variandina tuleks kõne alla vfd hoidmine mingil optilisel meedial ja sealt selle lugemine, sest teatavasti saab kustutatud faile imekergesti taastada. Kui VM’i buutida vaja pole, võib selle optilise ketta šeifi panna ja välja otsida buutimis hetkeks.

Teatud erinevused (BL partitsiooni käsitsi tegemise vajadus, manage-bde käivitamine) esinevad Windows 2008/Vista puhul.

 

Keywords: Hyper-V BitLocker VM USB

VS2005 > Hyper-V

Virtual Server 2005 oli oma aja kohta päris huvitav toode, kuid nüüdseks on ta omajagu vananenud ja kui pole nostalgilisi või tehnoloogilisi põhjusi, siis võiks VM’id kolida Hyper-V (või mõnele muule kaasagsemale) platvormile.

VM’e migreerida iseenesest on lihtne. Käsitsi vhd’sid liigutades (sisemise failisüsteemi tasemelt on need ühilduvad MS virtualiseerimisplatvormide vahel) või mõnda ägedamat (SCVMM) lahendust kasutades.

Teatud juhtudel (näiteks, kui VM OS oli Windows server 2008) tekib olukord, kus VM käivitub terve igaviku, hiir ei tööta, võrk ei tööta või töötab ebamääraselt ja kogu kupatus on tattaeglane.

Ehk tekib tunne, et kogu abidraiverite kiht on katki või puudu. Virtual guest services (Integration components) eemaldamisest, uuendamisest pole kasu ja Device manageris kaevates on näha, et VMBus (Virtual Machine Bus) on varustatud kollase hüüumärgiga.

“This device cannot find enough free resources that it can use. (Code12)”

Ei aita selle seadme draiverite uuendamine, eemaldamine ega muu hookus-pookus. NOK.

Tegelikult on põhjus selles, et VS2005 söödab ette natuke teistmoodi masinainfo ja Hyper-V’ endas jooksvale VM’ile teise. Ehk – küsimus taandub lõpuks sellele, milline HAL on installeeritud. VS2005 alla näeme Advanced Configuration and Power Interface (ACPI) PC”, HYPER-V VM’is peaks seal olema “ACPI x86-based PC” . Kogu VMBus ja seotud draiverid aga sõltuvad otseselt HAL’i korrektsusest.

Kuidas vahetada HAL’i? Alates Windows server 2008/Vista perekonnast on HAL’i vahetamine õnneks kordades lihtsustunud kui NT4/2000/2003 versioonides. See tehakse lihtsalt autodetecti abil :). Autodetecti sisselülitamiseks on lihtne võimalus – käivita msconfig , vali BOOT ja Advanced. Märgi Detect HAL ja tee restart.

image

Volilaa! Masina tüüp on õige

image

ja VMBus jääb rahule (võimalik, et Integration components tuleb uuesti installida).

image

HALi vahetuse initseerimiseks on tegelikult veel üks võimalus (kui masin on ikka nii raskesti juhitav, et msconfig’i kuidagi käima ei saa)

  1. Seiska VM
  2. Moundi vhd mõnes 2008/Vista või uuem OS voluumiks (sama Hyper-V masin sobib hästi. Eriti hea on 2008R2, seal on vhd mount juba Disk Mangeris sees, vastasel juhul kasuta PowerShelli).
  3. Võta see voluum Disk Manageri abil online ja anna talle mõni vaba kettatäht.
  4. kasuta BCDEDIT utikat ja muuda ÕIGET bootconfiguration faili.  Stiilis BCDEDIT /store x:\Boot\bcd {current} /set detecthal yes  (X on siin siis mounditud ketta täht).
  5. Pane voluum offline ja unmoundi.
  6. Käivita VM

NB! Väga kasulik on eelnevalt tutvuda BCDEDIT võimaluste ja käsureaga, et mitte oma masina boot konfiguratsiooni puusse keerata.

Kuigi automaatne HAL tuvastamine ei pikenda eriti buutimisaega võiks selle sealt konfist maha koristada. Ja nüüd juba kindlasti msconfig abil, kiirem, mugavam  ja veakindlam.