O bitlocker pode ser usado no sistema operacional convidado do HyperV Windows VM?

Navegue suas respostas
3

Estamos estudando a possibilidade de usar o BitLocker dentro do sistema operacional convidado da VM (ou seja, não o sistema operacional pai no host da VM). Nós temos a VM Win2008R2 e Win2012 (não a R2).

E encontramos este link: link "A criptografia do BitLocker pode ser aplicada aos hosts do Hyper-V para garantir a proteção de dados. A criptografia de convidado do Hyper-V não é suportada." (os livros disseram em suas primeiras páginas que é baseado no Win2012R2)

Isso significa que o BitLocker não deve ser usado dentro de um sistema operacional convidado do Hyper-V?

Mas também encontramos as Perguntas frequentes sobre o BitLocker: link "O BitLocker suporta discos rígidos virtuais (VHDs)? Não há suporte para o BitLocker em VHDs inicializáveis, mas o BitLocker é compatível com VHDs de volume de dados, como os usados por clusters, se você estiver executando o Windows 8, Windows 8.1, Windows Server 2012 ou Windows Server 2012 R2. "

Está falando de VHD, o que, acreditamos, significa usar o BitLocker dentro do sistema operacional convidado?

Algum conselho?

    
por Lapson 21.09.2016 / 04:23

2 respostas

2

Does that mean BitLocker should not be used inside a Hyper-V guest OS?

Sim, é isso que significa.

Ele não deve ser usado porque não é suportado nas versões do Windows anteriores ao Windows Server 2016. Ele não é suportado porque a Microsoft não deseja que os clientes façam algo que não forneça nenhuma proteção real. Um convidado não pode ser configurado para inicialização autônoma, a menos que a chave de inicialização esteja armazenada na partição de recuperação ou na mídia removível. Um nome mais preciso para a chave de inicialização é "Chave de inicialização e recuperação", porque permite que qualquer pessoa tenha acesso à partição de recuperação se as chaves forem armazenadas ali para descriptografar a unidade. E você provavelmente não deseja inserir uma chave de recuperação toda vez que seu convidado for iniciado.

Além disso, "anexar um disquete virtual" realiza a mesma quantidade de nada. Se as chaves estiverem armazenadas em um dispositivo em uma partição não criptografada anexada ao host, os dados não serão protegidos.

O Windows Server 2016 apresenta o Virtual TPM, que permite a criptografia segura de partições guest com inicialização autônoma. Você pode ler mais sobre isso aqui:

link

"Criptografia de disco virtual do BitLocker usando vTPM. Não é necessário fornecer um código de desbloqueio após a reinicialização - use criptografia de disco guest em qualquer lugar sem sobrecarga de administração. As chaves de criptografia são seladas com segurança dentro do dispositivo TPM virtual, que se move quando a VM se move para outro host "

    
por 28.04.2017 / 14:34
1

Quando lidei com VMs criptografadas no passado, geralmente achei fácil usar o recurso interno do Bitlocker fornecido pelo Windows. Eu nunca tive problemas ao fazer isso, e é até mesmo possível evitar a necessidade de inserir a chave de criptografia na inicialização se você configurar um disquete virtual e salvar a chave para isso. Para copiar a chave, execute o seguinte (assumindo que A: é a unidade de disquete): 

manage-bde.wsf -on C: -rp -sk A:

Uma vez feito isso, você pode deixar o disquete conectado à VM. Note que você vai querer garantir que você tenha um backup da chave caso algo aconteça ao disquete virtual.

    
por 21.09.2016 / 06:39

Tags

Configuração do postfix para usar TLSv1.2 Powershell DSC - Info 1625. Esta instalação é proibida pela política do sistema